현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

Linux system log를 분석할때... 공격당했음을 판단할 수 있는 패턴으로 어떤게 있을까요?

karekano0720의 이미지
글쓴이: karekano0720 / 작성시간: 화, 2010/11/02 - 8:18오후

syslog를 이것저것 열어보면서 log파일을 읽어서 공격당했는지 여부를 판단하는 프로그램을 작성해 보려고 하는데요.

일반적으로 서버가 공격당했음을 판단 할 수 있는 패턴같은게 있을까요?

Forums: 
설치 및 활용 QnA
ydhoney의 이미지

글쓴이: ydhoney / 작성시간: 수, 2010/11/03 - 2:31오전

syslog정도를 열어보고 공격당했는지 여부를 판단할 수 있는 정도라면 이미 그 시스템은 한 반쯤 작살난거라고 보면 됩니다. 혹은 아주 초보적인 스크립트 키드가 들어왔거나요.

보통은 syslog로는 잘 모르니까 다른 방법을 찾아보세요.

그나마 찾아보자면 ssh등으로 무작위 시도가 발생하면 주의해야겠구나.하는 정도랄까요?

ssh 접근시도 중 접속이 된 녀석들을 중심으로 훑으면서 낯선 IP가 있다던지 할 수도 있겠네요.

그 외에는 역시 잘;;

--
Linux/Unix System Engineer를 위한 다락방
http://cafe.naver.com/sedarak

warpdory의 이미지

글쓴이: warpdory / 작성시간: 수, 2010/11/03 - 8:00오전

보통은 /var/log/secure, 아파치 로그(설정에 따라 달라지니, 아파치 설정 파일 참조, 보통은 /var/log/httpd), ftp 로그 (/var/log/xferlog), 거기에, fail2ban 을 돌린다면 /var/log/fail2ban ...
정도를 보시면 ..

무지하게 찔러대는 ip 가 있을 겁니다. 가볍게 iptables 정도로 막아주시면 됩니다.

그리고, 만일 웹게시판 등을 돌리신다면, mysql 로그 등도 확인해 보세요.

아파치 로그를 보면 이상한 문구들이 반복적으로 보일 때가 있습니다. 보통 그런 게, mysql 버그를 이용하여 sql injection 으로 뭔가 db 에 때려박은 다음에 실행시켜서 침투하거나, 스팸메일 서버로 쓴다거나 .. 하려는 의도일 때가 많습니다. 그러니, 주기적으로 보안패치를 적용하여야 하고, 이상한 트래픽이 감지되거나, 이상한 문구가 보이면 일단 틀어막고 볼 일입니다. 게으름 피우면 며칠뒤에는 서버는 내 것이로되, root 는 딴놈이 차지하는 경우가 많습니다. (결국 가장 속편한 건 포맷 ..)

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.net
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.