로그 분석 1-1

로그: 소위 방문한 사람들의 흔적(행위)을 기록한 것이다.

로그를 조사할 경우: 

1. last 로그, 프로세스 로그, syslog에 의해 생선된 것을 찾는다.

2. 침입을 당한 시스템에 있는 setuid, setgid 파일을 모두 찾아본다.(특히 setuid root 파일)

--> 침입자들은 bin/sh 이나 bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 그리고 로그가 저장되는 곳은 수정이 불가한 로그 데이터의 추가만이   

      가능한 저장매체에 하는 것이 좋다. [find 프로그램을 사용하면 setuid, setgid 파일을 찾아낼 수 있다.]

ex) setuid root 파일, setgid kmem 파일을 전체 파일 시스템에서 찾기!! ==>

 find / -user root -perm -4000 -print find / -group kmem -perm -2000 -print  

**주의 할것은 NFS/AFS로 마운트 된 파일 시스템까지 몽땅 찾으니까 찾는 대상에서 제외하고자 할 경우에는 "-xdev" 옵션을 사용하면 된다.(단 지원하지 않는 find도 있다.)