공지사항
보안패치
결제방법안내
서비스 이용약관
개인정보취급방침
자주묻는질문
기술가이드
문의하기
제 목 리눅스 해킹 여부 점검 방법
작성자 하나로호스팅(주) ( help@hhosting.co.kr ) 등록정보 2012-08-14 16:39:10 조회수 5845
리눅스 시스템 해킹 여부를 판단하기 위한 간단한 점검 방법입니다.

절대적은 아니지만 서버가 해킹 되었는지를 점검시 활용 하시면 좋으실거 같습니다.

1. 기본 패키지 변경 유무 확인

서버 해킹시 해커는 명령어들(프로그램)을 변조하가 나가므로 서버 점검을 위해서 가장 우선적으로 시행 되야 하는 부분

rpm -V fileutils --> ls 포함된 프로그램
rpm -V findutils --> find
rpm -V procps --> ps , top
rpm -V net-tools --> netstat , ifconfig
rpm -V passwd --> passwd
rpm -V SysVinit --> pidof
rpm -V psmisc --> killall
rpm -V sysklogd --> syslogd
rpm -V tcp_wrappers --> tcpd

점검 결과 아무것도 나오지 않으면 정상

아래와 같이 나오면 변조 의심
예 )SM5....T /bin/ls

S : 프로그램의 사이즈가 변경
M : 퍼미션 변경
5 : md5 chechsum 값이 변경
T : 파일의 mtime 값이 변경

* 변조된 프로그램 사용시 정확한 값을 얻지 못함,
다른 서버에서 프로그램을 복사해 와 사용 하던지 , 프로그램을 재설치 해야 함



2. ls -alR /tmp 나 ls -alR /var/tmp로 /tmp 밑 숨김 디렉토리및 파일 검색

3. netstat -nl
* 열려 있는 포트 확인, 사용하지 않는 포트가 열려 있을때 의심.

4. ps auxwwwwwww
* 실행 중인 프로세스 검색, 이상 프로세스 검색

5. rkhunter 설치, 검사
* rkhunter 는 백도어나 루트킷을 탐지하여 주는 프로그램입니다.

일단 루트킷(rootkit)에 대해 먼저 알고 넘어 가자
루트킷이란 어떤 시스템의 관리자 권한을 관리자의 허락없이 얻기 위한 프로그램이다.
보통 해커들이 루트킷을 설치하여 시스템에 들어 와서 명령어를 변조 시키기 때문에
루트킷 검사가 힘들다.

5.1 설치
# wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.4.0.tar.gz (8월 14일 현재 최신버전)
# tar xvfzp rkhunter-1.4.0.tar.gz
# cd rkhunter-1.4.0
# ./installer.sh --layout /usr/local --install

5.2 실행
# /usr/local/bin/rkhunter --update

# /usr/local/bin/rkhunter --check

*실행 순서
* 일단 모두 엔터침.

1. Checking binaries
- 'known good'메시지와 함께 모든항목이 [OK] 로 출력되면 [ENTER]를 입력합니다.
바이러리 파일에 오류가 감지되면 [BAD] 메시지를 출력합니다.
2. Check rootkits
- rootkit 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
3. Networking
- Networking 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
4. System checks
- System checks 모든항목이 [Net found] [OK]로 표시되면 [ENTER]를 입력합니다.
5. Application advisories
- Application advisories 항목은 응용프로그램의 버전을 측정하는 항목으로 오래된 버전을 사용할 경우
해당프로그램에 [Old or patched version]이 출렵됩니다.
6. Scan results
- 각 항목의 검사결과를 간략히 보여주는 화면입니다.

점검 완료 되면 /var/log/rkhunter.log 를 열어 확인

이상 간단하 리눅스 서버 해킹 점검 법이었습니다.
요즘은 웹쉘을 이용한 해킹이 증가하는 추세입니다.
웹쉘 검사 프로그램인 휘슬에 대해선 추후 다시 올리겠습니다.
총 49 건
번호 제목 등록일 조회수
49 스팸블랙리스트(SBL) 등록 확인 법 및 해제 방법 2016-04-13 3381
48 [linux] 메모리 많이 잡아 먹는 프로세서 찾는 명령어 2012-09-13 5007
47 IIS 6 설정 백업 및 복원 2012-09-13 4403
46 파일 질라 설정법 2012-09-13 4221
45 MSSQL version 확인법 2012-08-16 3518
=> 리눅스 해킹 여부 점검 방법 2012-08-14 5845
43 [PHP] php upload 용량 변경 설정 2012-08-14 5368
42 [리눅스팁] php 한글 깨짐 현상 2009-12-31 7321
41 [프로그램] 리눅스 한글깨지는 현상 2009-12-30 5595
40 [프로그램] [KIHA]보안서버 구축 가이드 ver2.0 2008-07-22 5605
39 [윈도우팁] IIS6 특정 확장자 다운로드 안되는 문제 2007-08-23 5784
38 [리눅스팁] 데몬이란? 2007-07-31 6399
37 [리눅스팁] MySQL processlist 실시간 보기 팁 2007-07-31 6543
36 [프로그램] [윈도우] HDD속도 테스트 유틸 HD Tune 2007-07-31 5997
35 [리눅스팁] yum 으로 패키지그룹단위로 관리하기 2007-07-30 5384
34 [리눅스팁] atd 데몬 사용법 2007-07-30 6236
33 [리눅스팁] 파일을 유지한채 파일 내용을 비우기 2007-07-27 5824
32 [기타] 사설아이피대역 2007-07-27 6231
  [1] [2] [3]  
1