Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

오픈소스 제품의 인기가 높아짐에 따라 Linux 운영 및 유지 관리 엔지니어로서 비정상적인 시스템에 문제가 있는지 명확하게 식별할 수 있는 것이 중요합니다. 중요한 것은 내 자신의 업무 경험을 바탕으로 참고용으로 머신이 해킹되는 몇 가지 일반적인 상황을 정리했습니다.

배경 정보: 다음 상황은 CentOS 6.9 시스템에서 확인되었으며 다른 Linux 배포판도 유사합니다. .

1

intruder는 기계의 로그 정보를 삭제할 수 있습니다. 로그 정보가 여전히 존재하는지 또는 관련 명령 예제를 확인할 수 있습니다 2 침입자가 사용자 이름과 비밀번호를 저장하기 위해 새 파일을 생성할 수 있습니다.

/etc/passwd 및 /etc/shadow 파일과 관련 명령 예를 볼 수 있습니다.

3

4

View 로그 "/var/log/lastlog"에 해당하는 머신의 최근 성공적인 로그인 이벤트 및 마지막 실패한 로그인 이벤트

, 관련 명령 예:

5

로그 파일 "/var/run/utmp"에 해당하는 machine

에 현재 로그인한 모든 사용자 보기, 관련 명령 예:

6

로그 파일 "/var/log/wtmp"에 해당하는 머신 생성 이후 로그인한 사용자

보기, 관련 명령 예:

추가로, 공식 리눅스 계정을 검색하는 방법은 다음과 같습니다. 백엔드에 "git books"라고 답하고 깜짝 선물 패키지를 받으세요.

7

로그 파일 "/var/log/wtmp"에 해당하는 시스템

의 모든 사용자의 연결 시간(시간)을 확인합니다. 관련 명령 예:

8

기기가 비정상적인 트래픽을 생성하는 것을 발견한 경우

"tcpdump" 명령을 사용하여 네트워크 패킷을 캡처하여 트래픽 상황을 보거나 "iperf" 도구를 사용하여 교통 상황 보기

9

/var/log/secure로그 파일

을 확인하여 침입자의 정보와 관련 명령 예를 찾아보세요.

10

비정상 프로세스에 해당하는 실행 스크립트 파일을 조회

a.top 명령으로 비정상 프로세스에 해당하는 PID를 조회

b에서 해당 프로세스를 검색해 보세요. 가상 파일 시스템 디렉터리 실행 파일 Linux 중국어 커뮤니티 팔로우

11

머신이 침입하여 중요한 파일이 삭제된 것이 확인되면 삭제된 파일을 검색할 수 있습니다. 참고:

1 프로세스가 파일을 열어두는 한 프로세스가 파일을 열 때. , 삭제하더라도 디스크에 여전히 존재합니다. 이는 프로세스가 파일이 삭제되었다는 사실을 인식하지 못하며 파일이 열릴 때 제공된 파일 설명자를 계속 읽고 쓸 수 있음을 의미합니다. 이 파일은 해당 디렉터리 inode가 삭제되었기 때문에 프로세스 외에는 보이지 않습니다.

2. /proc 디렉터리에는 커널과 프로세스 트리를 반영하는 다양한 파일이 포함되어 있습니다. /proc 디렉토리는 메모리에 매핑된 영역을 마운트하므로 이러한 파일과 디렉토리는 디스크에 존재하지 않으므로 이러한 파일을 읽고 쓸 때 실제로 메모리에서 가져옵니다. lsof와 관련된 대부분의 정보는 프로세스의 PID를 따라 명명된 디렉터리에 저장됩니다. 즉, /proc/1234에는 PID가 1234인 프로세스에 대한 정보가 포함되어 있습니다. 각 프로세스 디렉터리에는 애플리케이션이 프로세스의 메모리 공간, 파일 설명자 목록, 디스크의 파일에 대한 기호 링크 및 기타 시스템 정보를 쉽게 이해할 수 있도록 하는 다양한 파일이 존재합니다. lsof 프로그램은 이 정보와 커널 내부 상태에 대한 기타 정보를 사용하여 출력을 생성합니다. 따라서 lsof는 프로세스의 파일 설명자 및 관련 파일 이름과 같은 정보를 표시할 수 있습니다. 즉, 프로세스의 파일 디스크립터에 접근하여 파일에 대한 관련 정보를 찾을 수 있습니다.

3. 시스템의 파일이 실수로 삭제된 경우, 현재 시스템에 해당 파일에 액세스하는 프로세스가 남아 있는 한 lsof를 통해 /proc 디렉터리에서 파일 내용을 복원할 수 있습니다.

침입자가 /var/log/secure 파일을 삭제했다고 가정할 때 /var/log/secure 파일을 복원하려는 방법은 다음과 같습니다.

a /var/log를 봅니다. /secure 파일, 해당 파일이 더 이상 존재하지 않는 것으로 확인되었습니다.

b lsof 명령을 사용하여 현재 /var/log/secure를 여는 프로세스가 있는지 확인하세요.

c. 위 정보를 보면 PID 1264(rsyslogd)가 연 파일의 파일 디스크립터가 4인 것을 알 수 있습니다. 또한 /var/log/secure가 삭제된 것으로 표시된 것을 확인할 수 있습니다. 따라서 다음과 같이 /proc/1264/fd/4에서 해당 정보를 볼 수 있습니다(fd 아래의 숫자로 명명된 각 파일은 프로세스에 해당하는 파일 설명자를 나타냅니다). 위에서는

d할 수 있습니다. /proc/1264/fd/4를 보면 복구할 데이터를 얻을 수 있다는 정보가 나와 있습니다. 파일 설명자를 통해 해당 데이터를 볼 수 있는 경우 I/O 리디렉션을 사용하여 다음과 같이 파일로 리디렉션할 수 있습니다.

e /var/log/secure를 다시 확인하고 다음을 찾으세요. 존재하는 파일입니다. 삭제된 파일을 복구하는 이 방법은 많은 응용 프로그램, 특히 로그 파일과 데이터베이스에 매우 유용합니다.

위 내용은 Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!