>운영 및 유지보수 >리눅스 운영 및 유지 관리 >Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

Linux中文社区
Linux中文社区앞으로
2023-08-03 14:52:371925검색

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

오픈소스 제품의 인기가 높아짐에 따라 Linux 운영 및 유지 관리 엔지니어로서 비정상적인 시스템에 문제가 있는지 명확하게 식별할 수 있는 것이 중요합니다. 중요한 것은 내 자신의 업무 경험을 바탕으로 참고용으로 머신이 해킹되는 몇 가지 일반적인 상황을 정리했습니다.
배경 정보: 다음 상황은 CentOS 6.9 시스템에서 확인되었으며 다른 Linux 배포판도 유사합니다. .

1

intruder는 기계의 로그 정보를 삭제할 수 있습니다. 로그 정보가 여전히 존재하는지 또는 관련 명령 예제를 확인할 수 있습니다 2 침입자가 사용자 이름과 비밀번호를 저장하기 위해 새 파일을 생성할 수 있습니다.

/etc/passwd 및 /etc/shadow 파일과 관련 명령 예를 볼 수 있습니다.

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


3

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


4

View 로그 "/var/log/lastlog"에 해당하는 머신의 최근 성공적인 로그인 이벤트 및 마지막 실패한 로그인 이벤트

, 관련 명령 예:

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


5

로그 파일 "/var/run/utmp"에 해당하는 machine

에 현재 로그인한 모든 사용자 보기, 관련 명령 예:

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


6

로그 파일 "/var/log/wtmp"에 해당하는 머신 생성 이후 로그인한 사용자

보기, 관련 명령 예:

추가로, 공식 리눅스 계정을 검색하는 방법은 다음과 같습니다. 백엔드에 "git books"라고 답하고 깜짝 선물 패키지를 받으세요.

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


7

로그 파일 "/var/log/wtmp"에 해당하는 시스템

의 모든 사용자의 연결 시간(시간)을 확인합니다. 관련 명령 예:

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


8

기기가 비정상적인 트래픽을 생성하는 것을 발견한 경우

"tcpdump" 명령을 사용하여 네트워크 패킷을 캡처하여 트래픽 상황을 보거나 "iperf" 도구를 사용하여 교통 상황 보기


9

/var/log/secure로그 파일

을 확인하여 침입자의 정보와 관련 명령 예를 찾아보세요.

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


10

비정상 프로세스에 해당하는 실행 스크립트 파일을 조회

a.top 명령으로 비정상 프로세스에 해당하는 PID를 조회

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

b에서 해당 프로세스를 검색해 보세요. 가상 파일 시스템 디렉터리 실행 파일 Linux 중국어 커뮤니티 팔로우

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


11

머신이 침입하여 중요한 파일이 삭제된 것이 확인되면 삭제된 파일을 검색할 수 있습니다. 참고:
1 프로세스가 파일을 열어두는 한 프로세스가 파일을 열 때. , 삭제하더라도 디스크에 여전히 존재합니다. 이는 프로세스가 파일이 삭제되었다는 사실을 인식하지 못하며 파일이 열릴 때 제공된 파일 설명자를 계속 읽고 쓸 수 있음을 의미합니다. 이 파일은 해당 디렉터리 inode가 삭제되었기 때문에 프로세스 외에는 보이지 않습니다.
2. /proc 디렉터리에는 커널과 프로세스 트리를 반영하는 다양한 파일이 포함되어 있습니다. /proc 디렉토리는 메모리에 매핑된 영역을 마운트하므로 이러한 파일과 디렉토리는 디스크에 존재하지 않으므로 이러한 파일을 읽고 쓸 때 실제로 메모리에서 가져옵니다. lsof와 관련된 대부분의 정보는 프로세스의 PID를 따라 명명된 디렉터리에 저장됩니다. 즉, /proc/1234에는 PID가 1234인 프로세스에 대한 정보가 포함되어 있습니다. 각 프로세스 디렉터리에는 애플리케이션이 프로세스의 메모리 공간, 파일 설명자 목록, 디스크의 파일에 대한 기호 링크 및 기타 시스템 정보를 쉽게 이해할 수 있도록 하는 다양한 파일이 존재합니다. lsof 프로그램은 이 정보와 커널 내부 상태에 대한 기타 정보를 사용하여 출력을 생성합니다. 따라서 lsof는 프로세스의 파일 설명자 및 관련 파일 이름과 같은 정보를 표시할 수 있습니다. 즉, 프로세스의 파일 디스크립터에 접근하여 파일에 대한 관련 정보를 찾을 수 있습니다.
3. 시스템의 파일이 실수로 삭제된 경우, 현재 시스템에 해당 파일에 액세스하는 프로세스가 남아 있는 한 lsof를 통해 /proc 디렉터리에서 파일 내용을 복원할 수 있습니다.
침입자가 /var/log/secure 파일을 삭제했다고 가정할 때 /var/log/secure 파일을 복원하려는 방법은 다음과 같습니다.

a /var/log를 봅니다. /secure 파일, 해당 파일이 더 이상 존재하지 않는 것으로 확인되었습니다.

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

b lsof 명령을 사용하여 현재 /var/log/secure를 여는 프로세스가 있는지 확인하세요.

c. 위 정보를 보면 PID 1264(rsyslogd)가 연 파일의 파일 디스크립터가 4인 것을 알 수 있습니다. 또한 /var/log/secure가 삭제된 것으로 표시된 것을 확인할 수 있습니다. 따라서 다음과 같이 /proc/1264/fd/4에서 해당 정보를 볼 수 있습니다(fd 아래의 숫자로 명명된 각 파일은 프로세스에 해당하는 파일 설명자를 나타냅니다). 위에서는

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

d할 수 있습니다. /proc/1264/fd/4를 보면 복구할 데이터를 얻을 수 있다는 정보가 나와 있습니다. 파일 설명자를 통해 해당 데이터를 볼 수 있는 경우 I/O 리디렉션을 사용하여 다음과 같이 파일로 리디렉션할 수 있습니다.

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계

e /var/log/secure를 다시 확인하고 다음을 찾으세요. 존재하는 파일입니다. 삭제된 파일을 복구하는 이 방법은 많은 응용 프로그램, 특히 로그 파일과 데이터베이스에 매우 유용합니다.

Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계


위 내용은 Linux - 서버가 손상되었는지 완벽하게 확인하는 방법을 알려주는 11단계의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 Linux中文社区에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제