서버 해킹시 초기 증상 및 조치

증상

웹서버인경우 웹사이트에서 바로 이상이 감지됨 서버에 과도한 부하 및 트래픽 발생 존재하지 않았던 파일 생성 DB 테이블 혹은 웹페이지 소스가 변조되거나 특정내용이 삽입 중요명령어의 실행 결과가 이상 혹은 명령어가 실행이 되지 않거나 깨짐 접속로그 확인시 출처 불분명 아이피가 로그인 성공 로그가 확인됨 로그에 critical (buffer overflow 공격시) 관련 로그가 남음 crond 나 데몬실행 스크립트에 삽입 시스템의 랜카드가 promiscuous 모드로 동작 netstat 명령어로 확인시 평소보다 많은 포트가 오픈 평소 못보던 프로세스나 프로그램이 실행되어 있다

조치

Nessus 를 이용해서 서버 취약점 스캔 Rkhunter 를 통해 먼저 시스템 점검파일의 무결성과 keylogger 및 백도어를 검사 앞으로의 검사결과에 이상이 없도록 한다 rpm 변조여부를 검사한다 (rpm -V 파키지명) [유저가 수정할수도있는 파일들은 무시] 각계정의 .bash_profile 과 .bashrc 등을 확인하여 변경된 사항이 있는지 체크한다 서버내 소켓연결상태와 접근IP 서비스형태및 promisc 모드로 동작하는지 검사한다 모든 프로세스를 점검해본다 (부하발생및 비정상적인 메모리차지 등등) SETUID 파일을 찾아보고 그파일이 정상적인 시스템파일인지 체크한다  find / -user root -perm -4000 (유저setuid)| find / -user root -perm -2000 (그룹setuid) /dev 조사하여 일반적인 파일이 존재하는지 찾아본다 ( find /dev -type f ) .rhosts 인증없이 로그인할수있게 해주는 파일조사 ( find / -name .rhosts ) 최근접속자의 모든 리스트와 알지 못하는 계정이 등록되어 있는지 조사해본다 이상점이 있을시 /var/log/secure 파일과 대조하여 본다 /var/log/messages 로그파일을 조사하여 이상한점이 없는지 확인해본다

후속 조치

서비스하지 않는 데몬은 중지시키고, 부팅시에도 작동되지 않도록 조치한다 필요하지 않은 유저나 그룹은 제거하며, 쉬운 유저이름과 암호는 모두 변경하여 주고, /etc/login.defs 에서 암호사용기간과 암호최소길이를 6자리 이상으로 변경하여 준다. /tmp /dev/shm 에 파일실행권한 금지및 setuid 금지를 설정해주고, 시스템내 중요파일과 시스템점검툴의 권한을 root만 허용하도록 설정하고, 중요 디렉토리의 퍼미션을 최소접근으로만 허용한다. TCP/IP 스택강화 및 커널매개변수를 적절히 설정하여 준다 ssh 의 버전을 최신으로 설치하고 포트를 변경하고, protocol 2 로만 서비스하며, 특정계정만 접속할수 있도록 설정하고, 아이디/암호를 어렵게 조합한다.      pam_abl 을 설치하여 무작위대입공격에 대비한다      각 서비스의 설정파일을 수정하여 보안상 문제가 없도록 설정한다. iptables 를 이용하여 서비스하는 포트만 열고, limit 을 설정하여 초당 접근제한을 설정해둔다 웹서비스를 SSL 로 운영한다. 웹방화벽을 설치하여 운영하며, 로그를 수시로 살펴본다.