현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

해킹당한 시스템을 복구할 때 기존에 백업했던 게 얼마나 도움이 되는지요?

raymundo의 이미지
글쓴이: raymundo / 작성시간: 월, 2006/01/16 - 1:12오전

음, 제목이 좀 이상하긴 하네요. 당연히 백업해둔 게 없는 것보다야 있는 것이 도움이 되겠습니다만...

얼마전에 제가 서버가 해킹당한 것 같다고 질문을 올렸었습니다. 결국 OS 새로 설치하고, 이것저것 복구하는 중입니다만...

사용자 홈 디렉토리들이야 어쨌거나 내용을 살려야 하니 백업했던 걸 다시 복사해준다 치고...

예를 들어 제가 예전에 그 서버에 소스컴파일을 거쳐서 /usr/local/bin 아래에 설치한 프로그램이 있습니다. 이제 그 프로그램들을 다시 깔려고 하니, /usr/local/ 디렉토리를 통채로 복구했으면 편하겠습니다만, '그 중에 해커가 바꿔치기한 백도어용 프로그램이 있다면?'이라고 걱정이 되니 어느 것 하나 백업본에서 그냥 가져올 수가 없더군요.

백업본이 그 서버가 아닌 다른 곳에 있다면 (네트웍으로 백업받아서), 그리고 해커가 침입한 시각을 정확히 알 수 있다면, 해킹 이전에 백업했던 것은 믿을 수 있겠습니다만, 해킹 시각도 정확히 파악하지 못했고 수십기가 하드의 내용을 따로 네트웍으로 백업받을 수가 없어서 (뭐 이건 하려고 하면 못 할 것도 없었으니 사실 핑계입니다만) 백업본 역시 동일한 서버에 다른 파티션에 있거든요. 그러니 어느 것 하나 믿지 못하겠는 겁니다.

그리고 이게 있을 수 있는 일인지는 모르겠는데, 예를 들어 /var/ 아래의 파일들을 복구하고 싶은데, 이름은 "/var/어쩌고/저쩌고.log" 이지만 실제로는 실행가능한 바이너리인 악성 프로그램이 숨겨져 있을수도? mysql 데이타 파일이라 생각했는데 사실은 실행파일일수도? 그런 것을 판단하기 위해 /var, /etc, /usr 아래의 수천수만개의 파일을 일일이 눈으로 보고 복구를 할 수는 없겠죠.

처음 언급한 사용자 홈디렉토리의 경우도... 그 서버의 사용자들 모두가 저처럼 수시로 자기 홈디렉토리의 내용을 백업받아두고 날짜별로 저장해 둔다면야 그냥 죄다 지워버리고 각자가 복구하라고 하고 싶습니다만 현실적으로는 불가능했습니다. 저번에 해커에 의해 암호가 노출된 사용자가 (본인은 여전히 그 사실을 모른채로) 그대로 예전의 암호로 복구가 되어 있고, 백도어들이 숨어있는 홈디렉토리까지 그대로 복구가 되어 있다면?

뭐 이러이러해서... 결국 호스팅업체가 새로 깔아준 상태에서, 추가로 필요한 것들은 죄다 다시 다운로드하고 설치하고 하고 있습니다. (그나마 예전에 작업했던 내용을 기록해뒀었기에 그거 보면서 따라하느라 덜 고생합니다만)

10년 가까이 리눅스를 접했으면서 이번에 처음으로 해킹을 당해서 제가 필요 이상으로 당황하고 걱정하는 것 같기도 합니다만, 다른 분들은 어느 수준까지 백업본을 신뢰할 수 있는지, 신뢰성을 높이기 위해 어떤 방법이 있을런지 조언을 듣고 싶습니다.

Forums: 
설치 및 활용 QnA
Stand Alone Complex의 이미지

글쓴이: Stand Alone Complex / 작성시간: 월, 2006/01/16 - 8:13오전

백업본의 신뢰도와 효용성은 아이러니컬하게도 애초에 시스템 보안 정책이 잘되어있었느냐에 달려 있을 것 같습니다.
그래야지 "x날 백업본과 y날 백업본을 비교해본 결과 중요한 시스템 바이너리가 y날에 변경되었다. 그리고 기 변경된 것이 루트킷같다. 변경된 놈만 추려내보자." 정도는 할 수 있지 않을까 생각해봅니다.

시스템의 신뢰성을 높이기 위한 툴로 tripwire를 사용해보심이 어떨까요?
tripwire란 파일 및 디렉토리의 무결성 검사 도구로서 시스템내의 파일과 디렉토리의 무결성을 검사하는 보안 툴입니다.
현재 가동 중인 시스템을 검사할 때 매우 유용하며 chroot를 걸고 사용할 때에는 백업 본을 검사할 때도 유용하리라 생각됩니다.

더 많은 정보는 http://sourceforge.net/projects/tripwire/ 에 있습니다.

단, 무결성 검사를 위해 사용되는 데이터베이스는 확실하게 백업을 해두셔야합니다.
그렇지 않다면, 결과는 뻔하겠죠?

RET ;My life :P

raymundo의 이미지

글쓴이: raymundo / 작성시간: 월, 2006/01/16 - 1:17오후

Stand Alone Complex님, 저번에 해킹 때문에 질문글 올렸을 때도 친절하게 답변해 주시고 이번에도 좋은 말씀 해 주셔서 정말 감사합니다~

tripwire는 이름은 들었었는데 그런 용도로군요. 알아보도록 하겠습니다.

좋은 하루 되세요!

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.