현재 위치

›› Forums ›› 재미 ›› 시스템 엔지니어 고민상담실

침해사고 로그 관련 질문입니다.

skwyverns의 이미지
글쓴이: skwyverns / 작성시간: 일, 2015/05/10 - 3:47오전

안녕하세요.

얼마전에 서버내 침해사고 발생해서

로그분석중인데

wtmp와 secure에 입력되는 로그에 차이를 정확히 모르겠어서 질문드립니다.

wtmp가 로그인 성공 및 리부팅등에 관련된 로그가 저장되는것으로 알고있고

secure는 인증과정을 거치는 로그인에 대한 로그를 기록하는것으로 이해하고있는데 이게 맞는건가요?

그리고 로그에 지정되어 있는 퍼미션 없이 수정 또는 삭제가 가능한가요?

예를 들어서 root권한으로 지정된 로그파일을 root 권한없이 삭제 또는 수정이 가능한지 알고싶습니다.

Forums: 
시스템 엔지니어 고민상담실
김정균의 이미지

글쓴이: 김정균 / 작성시간: 월, 2015/05/11 - 4:39오후

secure 는 syslog에 의해서 기록되는 것이고, wtmp는 login process에 의해서 기록이 됩니다. 자세한 것은 man wtmp 를 해 보시기 바랍니다.

그리고, 서버 침해 사고에 대해서는 login 기록을 살피는 것은 요즘은 좀 우선 순위가 낮아집니다. 왜냐면 login process를 이용해서 shell로 접근을 하지 않기 때문입니다.

예를 들어, 웹의 보안 hole을 이용해서 웹서버 권한의 shell을 획득 합니다. web shell로 검색해 보시면 웹서버 권한의 shell을 이해하실 수 있을 겁니다. 웹서버 권한의 shell을 획득하면, root권한을 획득할 수 있는 보안버그가 시스템에 있는지 확인 후에 root 권한 획득을 시도하고, 획득한 후에는 backdoor를 심습니다. 이 과정은 대부분 bot들이 자동으로 합니다. (사람이 침입을 시도하는 경우는 드물다는 얘기죠.. --) 이 과정에서의 작업들은 거의 로그에 남지 않고, 웹서버 로그에 shell injection에 대한 로그만 남게 되는 겁니다.

그래서 요즘은 os 업데이트를 필요할 때만 하겠다는 운영 방식은 보안에 엄청나게 취약한 운영 방식이 되는 겁니다.

둘러보기