믿을수 있는 호스팅 - 하나로호스팅(주)

제 목	리눅스 해킹 여부 점검 방법
작성자	하나로호스팅(주) ( help@hhosting.co.kr )	등록정보	2012-08-14 16:39:10 조회수 7311

리눅스 시스템 해킹 여부를 판단하기 위한 간단한 점검 방법입니다.

절대적은 아니지만 서버가 해킹 되었는지를 점검시 활용 하시면 좋으실거 같습니다.

1. 기본 패키지 변경 유무 확인

서버 해킹시 해커는 명령어들(프로그램)을 변조하가 나가므로 서버 점검을 위해서 가장 우선적으로 시행 되야 하는 부분

rpm -V fileutils --> ls 포함된 프로그램
rpm -V findutils --> find
rpm -V procps --> ps , top
rpm -V net-tools --> netstat , ifconfig
rpm -V passwd --> passwd
rpm -V SysVinit --> pidof
rpm -V psmisc --> killall
rpm -V sysklogd --> syslogd
rpm -V tcp_wrappers --> tcpd

점검 결과 아무것도 나오지 않으면 정상

아래와 같이 나오면 변조 의심
예 )SM5....T /bin/ls

S : 프로그램의 사이즈가 변경
M : 퍼미션 변경
5 : md5 chechsum 값이 변경
T : 파일의 mtime 값이 변경

* 변조된 프로그램 사용시 정확한 값을 얻지 못함,
다른 서버에서 프로그램을 복사해 와 사용 하던지 , 프로그램을 재설치 해야 함

2. ls -alR /tmp 나 ls -alR /var/tmp로 /tmp 밑 숨김 디렉토리및 파일 검색

3. netstat -nl
* 열려 있는 포트 확인, 사용하지 않는 포트가 열려 있을때 의심.

4. ps auxwwwwwww
* 실행 중인 프로세스 검색, 이상 프로세스 검색

5. rkhunter 설치, 검사
* rkhunter 는 백도어나 루트킷을 탐지하여 주는 프로그램입니다.

일단 루트킷(rootkit)에 대해 먼저 알고 넘어 가자
루트킷이란 어떤 시스템의 관리자 권한을 관리자의 허락없이 얻기 위한 프로그램이다.
보통 해커들이 루트킷을 설치하여 시스템에 들어 와서 명령어를 변조 시키기 때문에
루트킷 검사가 힘들다.

5.1 설치
# wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.4.0.tar.gz (8월 14일 현재 최신버전)
# tar xvfzp rkhunter-1.4.0.tar.gz
# cd rkhunter-1.4.0
# ./installer.sh --layout /usr/local --install

5.2 실행
# /usr/local/bin/rkhunter --update

# /usr/local/bin/rkhunter --check

*실행 순서
* 일단 모두 엔터침.

1. Checking binaries
- 'known good'메시지와 함께 모든항목이 [OK] 로 출력되면 [ENTER]를 입력합니다.
바이러리 파일에 오류가 감지되면 [BAD] 메시지를 출력합니다.
2. Check rootkits
- rootkit 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
3. Networking
- Networking 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
4. System checks
- System checks 모든항목이 [Net found] [OK]로 표시되면 [ENTER]를 입력합니다.
5. Application advisories
- Application advisories 항목은 응용프로그램의 버전을 측정하는 항목으로 오래된 버전을 사용할 경우
해당프로그램에 [Old or patched version]이 출렵됩니다.
6. Scan results
- 각 항목의 검사결과를 간략히 보여주는 화면입니다.

점검 완료 되면 /var/log/rkhunter.log 를 열어 확인

이상 간단하 리눅스 서버 해킹 점검 법이었습니다.
요즘은 웹쉘을 이용한 해킹이 증가하는 추세입니다.
웹쉘 검사 프로그램인 휘슬에 대해선 추후 다시 올리겠습니다.

총 49 건

번호	제목	등록일	조회수
49	스팸블랙리스트(SBL) 등록 확인 법 및 해제 방법	2016-04-13	5040
48	[linux] 메모리 많이 잡아 먹는 프로세서 찾는 명령어	2012-09-13	6725
47	IIS 6 설정 백업 및 복원	2012-09-13	6565
46	파일 질라 설정법	2012-09-13	5674
45	MSSQL version 확인법	2012-08-16	4983
=>	리눅스 해킹 여부 점검 방법	2012-08-14	7311
43	[PHP] php upload 용량 변경 설정	2012-08-14	6539
42	[리눅스팁] php 한글 깨짐 현상	2009-12-31	8542
41	[프로그램] 리눅스 한글깨지는 현상	2009-12-30	6915
40	[프로그램] [KIHA]보안서버 구축 가이드 ver2.0	2008-07-22	6884
39	[윈도우팁] IIS6 특정 확장자 다운로드 안되는 문제	2007-08-23	7129
38	[리눅스팁] 데몬이란?	2007-07-31	7838
37	[리눅스팁] MySQL processlist 실시간 보기 팁	2007-07-31	7816
36	[프로그램] [윈도우] HDD속도 테스트 유틸 HD Tune	2007-07-31	7566
35	[리눅스팁] yum 으로 패키지그룹단위로 관리하기	2007-07-30	6566
34	[리눅스팁] atd 데몬 사용법	2007-07-30	7615
33	[리눅스팁] 파일을 유지한채 파일 내용을 비우기	2007-07-27	7040
32	[기타] 사설아이피대역	2007-07-27	7584

[1] [2] [3]

클라우드 하나로클라우드 해외클라우드 아마존웹서비스	서버호스팅 서버호스팅 안내 서버호스팅 종류 및 신청 서버 전체 비교 서버관리 서비스	호스팅 MSSQL 호스팅 이미지 호스팅 CDN 호스팅	코로케이션 위탁서버호스팅 상면형 코로케이션 네트웍 장비(L2,L4)	보안서비스 개인정보보호 안내 통합보안 장비임대 IPS 보안 관제 서비스 DB암호화 / 접근제어 보안 서버인증서 웹방화벽 웹 쉘 공격탐지 웹 악성코드 탐지 서비스 Anti-Virus 서비스 Anti SPAN 서비스	부가서비스 MS라이센스 백업 서비스 부하분산 서비스 HA(고가용성)서비스 스트리밍 솔루션 CDP BackUp 로그분석 비즈메일러 SMS/LMS/MMS	홈페이지/쇼핑몰 쇼핑몰창업 홈페이지제작 및 유지보수 모바일 웹&앱 소상공인 협동조합