[정보보안/보안자격증/보안전문가] 해킹 흔적 찾기

[정보보안/보안자격증/보안전문가] 해킹 흔적 찾기

해킹 수습 대책(1) : 해킹 흔적 찾기
--------------------------------

1. 해커가 로그까지 지워버렸다면 대책이 없지만 /var/log/messages에서 아래와 같은 흔적을 찾아 봅니다.
이외에도 /var/log/ 내의 다른 로그들(httpd, ftpd 등) 에서 흔적을 찾아 봅니다.

Oct  26 05:06:19 myserv su(PAM_unix)[1177]: session opened for user news by (uid=0)

위 부분은 이름없는 슈퍼유저 권한(UID=0) 으로 su 명령을 내려 "news"라는 사용자로 변경했던 흔적입니다. 위의 로그중 by ???? (uid=0) 부분의 ???? 부분에 아무것도 들어 있지 않은것은 백도어를 이용하여 접근해서 인증정보가 존재하기 않기 때문에 root 등으로 적히지 않고 작업한 것으로 로그에 기록된 것입니다.

2. # netstat -an | grep LISTEN
서버에 열린 포트를 확인하여 의심가는 포트가 있다면 포트를 물고 있는 데몬을 찾아 봅니다.

3.find 관련 명령어 사용하기
1) 화일에 소유자,그룹이 없는 화일 찾기
: 디렉토리에서 화일에 소유자.그룹가 없다는것은 의심을 해볼필요가 있습니다.

#find / -nouser
#find / -nogroup

2) 디바이스 파일 찾기
: 보통 /dev/MAKEDEV 만 떠야 하며 등과 같이 device 를 관리하고자 하는 파일 이외의 것이 검색되면 일단 의심해봐야 합니다.

#find /dev -type f

그리고 습성상 디렉토리명칭을 공백 한바이트(" ")나 "..." 등과 같이 dot 3개 정도로 생성하여 쉽게 눈에 띄지 않게 하기도 하므로 이런 형태의 파일이나 디렉토리도 찾아보기 바랍니다.

3) 시간을 주어 그동안 만들어진 화일 찾기
: 해킹당한듯 싶으면 확인

#find / -ctime -1

4) setuid 걸린 파일 찾기

#find / -perm -4000

이 외에도 find 명령어에는 다양한 옵션이 있습니다.

출처 : http://www.it-bank.or.kr/boan/boan.htm