출처:시스템 로그 분석 -안정철
침입자 탐지 체크 리스트 10
1. last 로그, 프로세스 기록, syslog에 의해 생성된 모든 로그 파일 및 보안 로그 등을 조사
-> 평소 접속하지 않거나 외부 IP에서 연결을 한 경우, 혹 특이한 작업을 한 경우에 해당하는 모든 로그 파일을 조사.
2. 침입을 당한 시스템에 있는 setuid와 setgid 파일을 모두 찾아본다 (특히, setuid root 파일)
-> 나중에 재침입을 위해 침입자들은 setuid 설정이 된 /bin/sh나 /bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 이러한 파일은 찾아서 삭제해야만 한다.
검생 명령어
find / -user root -perm -4000 -print find / - group kmem -perm -2000 -print
or
ncheck -s /dev/rsd0g
3. 침입을 당한 시스템의 바이너리 파일이 변경되었는지 여부를 확인한다.
4. 네트워크 모니터링 프로그램이 불법적으로 이용된 시스템이 있는지 확인한다.
5. cron과 at에 의해 실행되는 모든 파일을 조사한다.
6. 불법적인 서비스가 없는지 확인한다.
-> /etc/inetd.conf 에 불법적으로 어떤 서비스가 추가 되었거나 변경되었는지 조사한다.
7. /etc/passwd 파일이 변경되었는지 여부를 확인한다.
8. 네트워크 conf 파일에 불법적인 내용이 들어가 있는지 확인한다.
-> /etc/hosts 등
9. 시스템에 침입자가 사용할 만한 프로그램이나 히든파일이 있는지 확인한다.
-> find / -name ".." -print -xdev find /-name ".*" -print -xdev | cat -v
10. 로컬 네트워크 상에 있는 모든 시스템을 함께 조사한다.
'프로젝트 관련 조사 > APT' 카테고리의 다른 글
해킹 메일의 유형 및 탐지 방법 (0) | 2015.11.24 |
---|---|
DDOS 공격 차단 방법 (0) | 2015.11.24 |
Arcsight SIEM 활용 방안 (0) | 2015.11.24 |
해킹사고 증상과 취약점 (0) | 2015.10.21 |
개인정보 유출사고 분석 (0) | 2015.10.21 |