리눅스취약점 #1

현재 리눅스에서는 많은 보안 취약점들이 발견되고 있습니다.
그중에서 특히 외부에서 root 권한을 획득할 수 있는 script들이 인터넷에 공개되었으며 이를 이용한 해킹이 많이 늘어나고 있는 추세입니다.

다음은 리눅스 서버상에서 반드시 점검해야 될 사항들 입니다.
(참고 : 다음에서 사용되는 명령어들은 backdoor 로 대체되지 않은 프로그램을 사용해야 정확하게 점검할수 있습니다.
=> Clean 시스템에서 해당 명령어를 다운받아서 실행시키는 것이 좋습니다.)

1. amd vulnerability
외부에서 root 권한을 획득할수 있는 버그가 리포트 되어 있습니다. 사용하지
않는다면 구동시키지 않는것을 권고합니다.

1) 확인
# ps -ef chr(124)_pipe grep amd
444 ? S 0:00 /usr/sbin/amd -a /.automount -l syslog -c

위와 같이 구동되어 있다면 해당프로세스를 kill 하세요.
# kill -9 PROCESSID_OF_AMD


2) 부팅시 실행금지
# /usr/sbin/ntsysv
화면에서 amd 를 선택하지 않은후 rebooting !!

or

# chkconfig --level 0123456 amd off




2. named vulnerability
외부에서 root 권한을 획득할수 있는 버그가 리포트 되어 있습니다.
사용하지 않는다면 구동시키지 않는것을 권고합니다.

1) 확인
다음과 같은 방법으로 named 의 버전을 확인 합니다.
$ dig YOUR_NAME_SERVER_IP version.bind chaos txt
.
.
.
;; ANSWER SECTION:
VERSION.BIND. 0S CHAOS TXT "8.2.2-P5"
^^^^^^^^^^

만약 위의 버전이 8.2 , 8.2.1 이나 밑의 버전을 사용한다면 즉시 패치를 해야 합니다.

2) 부팅시 실행금지
#/usr/sbin/ntsysv
named 항목을 선택하지 않습니다.

3) 패치 사이트

만약 named 를 사용한다면 다음의 사이트에서 최신 bind를 설치 합니다.
(현재 최신버전은 8.2.2-P5 입니다.)

http://www.isc.org/products/BIND



3. imapd vulnerability
외부에서 root 권한을 획득할수 있는 버그가 리포트되어 있습니다.
사용하지 않는다면 구동시키지 않기를 권고합니다.
(아마 대부분 사용하지 않을것 입니다.)

1) 확인
% telnet IMAP_SERVER_IP 143
Trying xxx.xxx.xxx.xxx ...
Connected to xxx.xxx.xxx.xxx
Escape character is '^]'.
* OK xxx.xxx.xxx.xxx IMAP4rev1 v12.250 server ready
^^^^^^^
만약 위의 버전이 10.223 밑의 버전이라면 보안취약점이 노출된 버전의 imapd를 사용하고 있다는 뜻입니다.

2) 구동시키지 않기
보통의 경우 imapd 는 inetd에 구동되므로 /etc/inetd.conf 에서 comment를 시키면 됩니다.

# Pop and imap mail services et al
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd

그런 다음 inetd 를 다시 구동시킵니다.

# kill -HUP PID_OF_INETD


4. qpop(pop3) vulnerability
외부에서 root 권한(또는 mail gid )을 획득할수 있는 버그가 알려져 있습니다.

사용하지 않는다면 구동시키지 않기를 권고합니다.
(보통 리눅스패키지에는 qualcomm pop3 가 설치되어 있습니다.)

1) 확인
$ telnet xxx.xxx.xxx.xxx 110
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx...
Escape character is '^]'.
+OK QPOP (version 3.0b18) at xxx.xxx.xxx.xxx starting.
^^^^^^^^^^^^^^
만약 위의 버전이 3.0b29 나 그버전 보다 작으면 보안취약점이 노출된 버전을 사용하고 있다는 뜻입니다.

2) 구동 안시키기
보통의 경우 pop3d 는 inetd에 구동되므로 /etc/inetd.conf 에서 comment를 시키면 됩니다.

# Pop and imap mail services et al
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/bin/popper popper -s

그런 다음 inetd 를 다시 구동시킵니다.

# kill -HUP PID_OF_INETD

3) 패치
다음의 사이트에서 반드시 새 버전을 설치 하세요.
(현재 최신정식버전은 3.0.2 입니다.)
http://www.eudora.com/qpopper



5. sshd vulnerability

sshd의 경우 rootkit 의 일환으로 대체되어 사용되는 경우가
빈번하게 발생되고 있습니다.

tcp wrapper를 통해 접근할수 없다할지라도 SSH 로 들어올수 있는 backdoor를 만들어 놓아 외부 공격자가 들어올수 있으므로 사용하지 않는다면 구동시키지 않도록 합니다.
(또는 http://www.openssh.com 에서 최신 버전을 다운받아 설치합니다.)

1) 구동 안시키기

# ps -ef chr(124)_pipe grep ssh
root 111 .. .. /usr/sbin/sshd
# kill -9 111


# /usr/sbin/ntsysv
ssh 항목이 선택하지 않고 reboot !!