리눅스서버 자주 쓰는 실무 명령어 및 해킹확인

이메일대량삭제

sendmail.cf에  q 디렉토리를 만들어 놓았을 경우.
grep -rlP 'aib.ie' /var/spool/mqueue/q*/ |xargs -n1 rm -f

위로 해결안되면 물리적으로 삭제.

rm -rf /var/spool/mqueue/q*/*

 

 

서버 현재 접속상태 확인

netstat -natp

 

프로세서 사용상태 확인

top

나오는 건 ctrl+z

 

목록보기

ll

ls -al

파일크기순으로 목록보기

ls -alS

 

외부들어오기 차단

vi /etc/hosts.deny

ALL : ALL

특정차단

sshd:ALL

vsftpd:ALL

sendmail:ALL

IP주소:ALL

 

외부들어오기  허용

vi /etc/hosts.allow

ALL : ALL

특정허용

sshd:ALL

vsftpd:ALL

sendmail:ALL

IP주소:ALL

   

 

OS확인
lsb_release -a
uname -a

chcon -t texrel_shlib_t /usr/local/apache_1.3.41/libexec/libphp4.so

chcon -t texrel_shlib_t /usr/local/apache_2.2.21/modules/libphp5.so


# cat /proc/cpuinfo 
# cat /proc/meminfo 
# free
# top 
# hdd = df -h 
# OS = uname -a 
# cat /etc/sysconfig/hwconf 

 

 

리눅스 시스템 해킹 여부를 판단하기 위한 간단한 점검 방법입니다.

절대적은 아니지만 서버가 해킹 되었는지를 점검시 활용 하시면 좋으실거 같습니다.

1. 기본 패키지 변경 유무 확인

서버 해킹시 해커는 명령어들(프로그램)을 변조하가 나가므로 서버 점검을 위해서 가장 우선적으로 시행 되야 하는 부분

rpm -V fileutils --> ls 포함된 프로그램
rpm -V findutils --> find 
rpm -V procps --> ps , top 
rpm -V net-tools --> netstat , ifconfig
rpm -V passwd --> passwd
rpm -V SysVinit --> pidof
rpm -V psmisc --> killall
rpm -V sysklogd --> syslogd
rpm -V tcp_wrappers --> tcpd

점검 결과 아무것도 나오지 않으면 정상

아래와 같이 나오면 변조 의심 
예 )SM5....T /bin/ls 

S : 프로그램의 사이즈가 변경
M : 퍼미션 변경
5 : md5 chechsum 값이 변경
T : 파일의 mtime 값이 변경

* 변조된 프로그램 사용시 정확한 값을 얻지 못함, 
다른 서버에서 프로그램을 복사해 와 사용 하던지 , 프로그램을 재설치 해야 함



2. ls -alR /tmp 나 ls -alR /var/tmp로 /tmp 밑 숨김 디렉토리및 파일 검색 

3. netstat -nl
* 열려 있는 포트 확인, 사용하지 않는 포트가 열려 있을때 의심.

4. ps auxwwwwwww
* 실행 중인 프로세스 검색, 이상 프로세스 검색

5. rkhunter 설치, 검사 
* rkhunter 는 백도어나 루트킷을 탐지하여 주는 프로그램입니다.

일단 루트킷(rootkit)에 대해 먼저 알고 넘어 가자
루트킷이란 어떤 시스템의 관리자 권한을 관리자의 허락없이 얻기 위한 프로그램이다.
보통 해커들이 루트킷을 설치하여 시스템에 들어 와서 명령어를 변조 시키기 때문에
루트킷 검사가 힘들다.

5.1 설치
# wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.4.0.tar.gz (8월 14일 현재 최신버전)
# tar xvfzp rkhunter-1.4.0.tar.gz
# cd rkhunter-1.4.0
# ./installer.sh --layout /usr/local --install

5.2 실행cd rk
# /usr/local/bin/rkhunter --update

# /usr/local/bin/rkhunter --check

*실행 순서 
* 일단 모두 엔터침.

1. Checking binaries
- 'known good'메시지와 함께 모든항목이 [OK] 로 출력되면 [ENTER]를 입력합니다.
바이러리 파일에 오류가 감지되면 [BAD] 메시지를 출력합니다.
2. Check rootkits
- rootkit 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
3. Networking
- Networking 모든항목이 [OK]로 표시되면 [ENTER]를 입력합니다.
4. System checks
- System checks 모든항목이 [Net found] [OK]로 표시되면 [ENTER]를 입력합니다.
5. Application advisories
- Application advisories 항목은 응용프로그램의 버전을 측정하는 항목으로 오래된 버전을 사용할 경우
해당프로그램에 [Old or patched version]이 출렵됩니다.
6. Scan results
- 각 항목의 검사결과를 간략히 보여주는 화면입니다.

점검 완료 되면 /var/log/rkhunter.log 를 열어 확인

이상 간단하 리눅스 서버 해킹 점검 법이었습니다. 
요즘은 웹쉘을 이용한 해킹이 증가하는 추세입니다.