홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 2탄~!!

[Global Services]/Asia IDC

홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 2탄~!!

이호스트ICT 2015. 8. 27. 16:37

안녕하세요.

이호스트데이터센터입니다.

홍콩, 일본서버호스팅 운영자 분들을 위한 가이드 2탄! 해외 서버 운영자및 서버호스팅 관리자 분들은 꼭 읽으셨으면 좋겠네요^^

지난 피싱대응 가이트 1탄에 이어 계속 포스팅하도록 하겠습니다.

오늘은 피싱 경유지 시스템 분석에 대해 말씀 드리겠습니다.

참고로 참고로 아래 내용은 한국인터넷 진흥원에서 배포하는 피싱 가이드에서 발췌한 내용입니다.

피싱 관련 파일로는 사이트를 구성하기 위해 사용된 파일들, 피해자들이 입력한 정보가 저장된 파일, 관련 웹로그 등이 해당됩니다. 공격자가 수집한 정보를 메일로 전송할 경우 피싱관련 디렉토리의 *.cgi나 *.php 소스를 확인하여 메일주소를 찾아보고, 직접 시스템에 접속해 가져 가는 경우 다음과 같은 형태의 *.txt 파일로 남아 있을 가능성이 큽니다.

메일에 명시된 URL의 디렉토리명이나 파일명으로 검색하여 관련된 파일 들을 삭제하고, httpd.conf 파일을 찾아 Directory, VirtualHost, Listen 포트 등 변경된 부분을 수정해 주어야 합니다.

공격자가 별도의 웹 서비스 데몬을 구동시킬 경우 1개 이상의 httpd.conf 일이 존재할 수도 있음을 감안해야 합니다.

일반적으로는 #rm -rf 커맨드를 이용해 쉽게 파일과 디렉토리를 삭제할 수 있으나, 삭제되지 않는다면 파일이나 디렉토리에 추가된 속성이 있는지 확인하고 속성제거 뒤 삭제하면 됩니다.

[ Linux 시스템 커맨드라인 분석 시나리오 예 ]

1. root로그인 후 HISTFILE=/dev/null; script cap.txt 실행하여 이후 실행 명령어와 출력결과가 cap.txt 파일로 저장되도록 함

2. ps -ef 또는 ps -aux 명령으로 구동되고 있는 process 확인

3. netstat, lsof 등으로 네트워크 연결 상태 확인

4. fuser -n tcp port# , netstat -lnp 등으로 포트가 사용하는 프로세스 확인

5. find /dev -type f -print 명령 이용해 설치된 기본 루트킷 점검

6. chkrootkit 으로 binary 변조여부 및 기본 루트킷 점검

7. strace -e trace=open command를 이용해 주요 명령실행 루틴 확인

8. 외부에서 nmap 등으로 포트스캔하여 백도어 포트 여부 확인

9. 부팅 스크립트나 cron을 확인하여 백도어 자동실행 여부 확인

10. /tmp, /usr, /var 등에 비정상적인 파일 존재 여부 확인

11. root의 .bash_history, /var/log/messages, secure, web access 등 로그확인

보다 안정적이고 빠른 일본,홍콩 서버를 원하신다면 정답은 이호스트에 있습니다.

해외 서버호스팅은 역시 이호스트에 정답이 있습니다.

(일본, 홍콩,러시아,네덜란드,싱가포르,미국 - LA)

궁금하신 사항이나 문의 하실 내용 있으시면 언제든 아래 연락처로 문의 주시면 됩니다.

언제나 상담은 환영입니다~^^

감사합니다.

서비스 문의.

전화 : 070-7600-5521

메일 : jsyoon@ehostidc.co.kr

스카이프 : EhostIDC Hosting Manager

* 일본 서버호스팅

Intel® Xeon® Quad Core L5520 x 2CPU

24GB DDR RAM

1TB SATA3 HDD raid 1 구성.

Intel® Xeon® Quad Core E3 1230 v2

8GB DDR RAM

1TB SATA3 HDD raid 1 구성.

* 홍콩 서버호스팅