서버관리에서 보안은 정말 중요한 것 입니다.
평소에 문제 없다가도 한번 문제가 생기면 되돌리기에 너무 힘겹더라구요.
그래서 꾸준히 관심을 가지고 관리를 해 주어야 합니다.
아래는 혹시라도 서버가 해킹되어서 문제가 발생할 수 있는 루트킷을 점검하는 방법입니다.
해킹을 당해도 당한 줄 모르다가 데이터가 삭제되거나 웹서비스에 문제가 발생했을 때 발견하게 되는 경우가 있는데,
수시로 체크해서 예방하는 것이 최선인 것 같습니다.
구글링을 통해 확보한 자료입니다. 참고하셔서 미리미리 예방하셔용
루트킷이란 루트권한을 획득한 공격자가 심어놓은 프로그램을 숨기기 위한 목적으로 사용되는 프로그램입니다.
평소에 문제 없다가도 한번 문제가 생기면 되돌리기에 너무 힘겹더라구요.
그래서 꾸준히 관심을 가지고 관리를 해 주어야 합니다.
아래는 혹시라도 서버가 해킹되어서 문제가 발생할 수 있는 루트킷을 점검하는 방법입니다.
해킹을 당해도 당한 줄 모르다가 데이터가 삭제되거나 웹서비스에 문제가 발생했을 때 발견하게 되는 경우가 있는데,
수시로 체크해서 예방하는 것이 최선인 것 같습니다.
구글링을 통해 확보한 자료입니다. 참고하셔서 미리미리 예방하셔용
루트킷이란 루트권한을 획득한 공격자가 심어놓은 프로그램을 숨기기 위한 목적으로 사용되는 프로그램입니다.
---------------------------------------------------
먼저 rkhunter 설치프로그램을 다운로드 하겠습니다.
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Frkhunter%2Ffiles%2Frkhunter%2F1.4.2%2Frkhunter-1.4.2.tar.gz%2Fdownload&ts=1419560398&use_mirror=cznic
# cd rkhunter-1.4.2
# sh installer.sh --install
설치 완료
설정파일은 /etc/rkhunter.conf
84번 라인 MAIL-ON-WARNING= 부분은 경고메일을 받을수 있도록 설정하는 라인 빼고는 특별히 만질것은 없습니다.
(수시로 체크하실것 아니면 주석 처리하면 됩니다.)
---------------------------------------------------
실행명령어는
# rkhunter --check
또는
# rkhunter -c --rwo // warning메세지,비정상적인 결과만 출력
입니다.
또는
# rkhunter -c --rwo // warning메세지,비정상적인 결과만 출력
입니다.
시작하기 전에 rkhunter 가 사용할 DB를 생성합니다.
rkhunter --propupd
rkhunter -c --rwo 명령어로 실행해보겠습니다.
rootkit hunter 스캔 순서는
1.알려진 rootkit 존재 여부
2.알려진 rootkit 관련 파일 존재 여부,백도어 존재 여부, sniffer 로그 존재 여부
3./etc/rc.d/rc.sysint , /etc/xinetd.conf 파일에 의심스런 설정 추가 여부 스캔
4./bin/ps /bin/ls /bin/netstat 등 자주 변조되는 파일의 변조 여부 스캔
5.로드된 모듈 스캔
6.자주 쓰는 백도어 포트 스캔(2001,2006,2128,14856,47107,60922)
7.NIC의 promisc 여부 스캔
8.유저와 그룹 파일의 변조 여부 스캔
9./etc/rc.d/rc.local 및 rc.d/ 디렉토리 이하 여부 스캔
10. /dev내 수상한 파일 스캔
11. 특정 응용 프로그램의 패치 여부 스캔
12. ssh 보안 설정 등 기타 보안 설정 스캔
1.알려진 rootkit 존재 여부
2.알려진 rootkit 관련 파일 존재 여부,백도어 존재 여부, sniffer 로그 존재 여부
3./etc/rc.d/rc.sysint , /etc/xinetd.conf 파일에 의심스런 설정 추가 여부 스캔
4./bin/ps /bin/ls /bin/netstat 등 자주 변조되는 파일의 변조 여부 스캔
5.로드된 모듈 스캔
6.자주 쓰는 백도어 포트 스캔(2001,2006,2128,14856,47107,60922)
7.NIC의 promisc 여부 스캔
8.유저와 그룹 파일의 변조 여부 스캔
9./etc/rc.d/rc.local 및 rc.d/ 디렉토리 이하 여부 스캔
10. /dev내 수상한 파일 스캔
11. 특정 응용 프로그램의 패치 여부 스캔
12. ssh 보안 설정 등 기타 보안 설정 스캔
-------------------------------------------------------------------------
warning 으로 나오는 부분은 변조되었다거나.. 위험도가 높은것이므로 사용자가 따로 설정한게 아니라면
확인하여 삭제 혹은 정상파일로 대체하시면 됩니다.
warning 으로 나오는 부분은 변조되었다거나.. 위험도가 높은것이므로 사용자가 따로 설정한게 아니라면
확인하여 삭제 혹은 정상파일로 대체하시면 됩니다.
체크된 내용중 warning 메세지가 출력된 부분을 살펴보겠습니다.
//주석을 해제해주면 yes로 돼있다고 또 경고를 줍니다. 보안상 no로 해놓고 특정 계정으로 수권한을 획득하는게 가장 좋습니다.
이 외에도 수많은 warning 메세지가 있을수 있으니 구글링을 하여 삭제or복원하여 해결하면 됩니다.
----------------------------------------------------------------------------------
기타 명령어
# rkhunter --update // rkhunter 업데이트가 활발하기 때문에 주기적으로 업데이트할것
# rkhunter --update // rkhunter 업데이트가 활발하기 때문에 주기적으로 업데이트할것
'Unix.Linux' 카테고리의 다른 글
| 리눅스(Linux) 네임서버(bind 9)에서 로그 설정(logging) (0) | 2015.02.06 |
|---|---|
| 리눅스 특수문자 파일 삭제 (0) | 2015.02.02 |
| hotmail 메일 송수신 문제해결 자료 (0) | 2014.12.24 |
| 패스워드 무작위 대입 공격 방어를 위한 fail2ban 사용법 (0) | 2014.07.29 |
| 리눅스 32비트 64비트 확인 (0) | 2014.07.18 |
댓글