화살표
기술가이드서비스 이용에 필요한 문서와 매뉴얼을 모아두었습니다.
번호 제목 등록일
46 리눅스 해킹 여부 점검 방법
2012-08-14
리눅스 시스템 해킹 여부를 판단하기 위한 간단한 점검 방법입니다.

절대적은 아니지만 서버가 해킹 되었는지를 점검시 활용 하시면 좋으실거 같습니다.

1. 기본 패키지 변경 유무 확인

서버 해킹시 해커는 명령어들(프로그램)을 변조하가 나가므로 서버 점검을 위해서 가장 우선적으로 시행 되야 하는 부분

rpm -V fileutils --> ls 포함된 프로그램
rpm -V findutils --> find
rpm -V procps --> ps , top
rpm -V net-tools --> netstat , ifconfig
rpm -V passwd --> passwd
rpm -V SysVinit --> pidof
rpm -V psmisc --> killall
rpm -V sysklogd --> syslogd
rpm -V tcp_wrappers --> tcpd

점검 결과 아무것도 나오지 않으면 정상

아래와 같이 나오면 변조 의심
예 )SM5....T /bin/ls

S : 프로그램의 사이즈가 변경
M : 퍼미션 변경
5 : md5 chechsum 값이 변경
T : 파일의 mtime 값이 변경

* 변조된 프로그램 사용시 정확한 값을 얻지 못함,
다른 서버에서 프로그램을 복사해 와 사용 하던지 , 프로그램을 재설치 해야 함



2. ls -alR /tmp 나 ls -alR /var/tmp로 /tmp 밑 숨김 디렉토리및 파일 검색

3. netstat -nl
* 열려 있는 포트 확인, 사용하지 않는 포트가 열려 있을때 의심.

4. ps auxwwwwwww
* 실행 중인 프로세스 검색, 이상 프로세스 검색

5. rkhunter 설치, 검사
* rkhunter 는 백도어나 루트킷을 탐지하여 주는 프로그램입니다.

일단 루트킷(rootkit)에 대해 먼저 알고 넘어 가자
루트킷이란 어떤 시스템의 관리자 권한을 관리자의 허락없이 얻기 위한 프로그램이다.
보통 해커들이 루트킷을 설치하여 시스템에 들어 와서 명령어를 변조 시키기 때문에
루트킷 검사가 힘들다.

5.1 설치
# wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.4.0.tar.gz (8월 14일 현재 최신버전)
# tar xvfzp rkhunter-1.4.0.tar.gz
# cd rkhunter-1.4.0
# ./installer.sh --layout /usr/local --install

5.2 실행
# /usr/local/bin/rkhunter --update

# /usr/local/bin/rkhunter --check

*실행 순서
* 일단 모두 엔터침.

1. Checking binaries
- 'known good'메시지와 함께 모든항목이 [OK] 로 출력되면 [ENTER]를 입력합니다.
바이러리 파일에 오류가 감지되면 [BAD] 메시지를 출력합니다.
2. Check rootkits
- rootkit 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
3. Networking
- Networking 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
4. System checks
- System checks 모든항목이 [Net found] [OK]로 표시되면 [ENTER]를 입력합니다.
5. Application advisories
- Application advisories 항목은 응용프로그램의 버전을 측정하는 항목으로 오래된 버전을 사용할 경우
해당프로그램에 [Old or patched version]이 출렵됩니다.
6. Scan results
- 각 항목의 검사결과를 간략히 보여주는 화면입니다.

점검 완료 되면 /var/log/rkhunter.log 를 열어 확인

이상 간단하 리눅스 서버 해킹 점검 법이었습니다.
요즘은 웹쉘을 이용한 해킹이 증가하는 추세입니다.
웹쉘 검사 프로그램인 휘슬에 대해선 추후 다시 올리겠습니다.