로그: 소위 방문한 사람들의 흔적(행위)을 기록한 것이다.
로그를 조사할 경우:
1. last 로그, 프로세스 로그, syslog에 의해 생선된 것을 찾는다.
2. 침입을 당한 시스템에 있는 setuid, setgid 파일을 모두 찾아본다.(특히 setuid root 파일)
--> 침입자들은 bin/sh 이나 bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 그리고 로그가 저장되는 곳은 수정이 불가한 로그 데이터의 추가만이
가능한 저장매체에 하는 것이 좋다. [find 프로그램을 사용하면 setuid, setgid 파일을 찾아낼 수 있다.]
ex) setuid root 파일, setgid kmem 파일을 전체 파일 시스템에서 찾기!! ==>
find / -user root -perm -4000 -print find / -group kmem -perm -2000 -print
**주의 할것은 NFS/AFS로 마운트 된 파일 시스템까지 몽땅 찾으니까 찾는 대상에서 제외하고자 할 경우에는 "-xdev" 옵션을 사용하면 된다.(단 지원하지 않는 find도 있다.)
Solaris 보안 umask, 스니핑, 브루트 포스 용어 (0) | 2016.02.29 |
---|