linux 해킹 여부 확인 방법

어떤 망x 놈들이 자꾸 회사 홈피에 공격 및 침입시도를 합니다.

이 때문에 몇가지 확인 방법을 간략히 정리해둡니다.
(아래의 내용은 centos 7.x 기준이며, OS에 따라 경로나 파일명 등이 다를 수 있습니다.)

 

1. 접속자 체크 (w)
 : 서버에 현재 접속중인 유저 목록을 보여줍니다. 접속 경로 및 로그인 일자까지 나타나며, 지금 수행중인 command도 보여줍니다.

2. 최근 접속 기록 체크 (last -n 10)
: 서버에 최근 접속한 이력을 보여줍니다. 'last -n 10'을 하면 최근 10건의 접속 시도 이력을 보여주지만, 그 이상의 수치도 가능합니다.

3. log 체크 (vim /var/log/messages, vim /var/log/secure)
: 서버의 로그를 확인할 수 있으며, 두개 파일 모두 체크를 합니다. 만약 로그 중에 수상한 내역이 있다면, 공격 또는 침입을 했었다는 의심을 할 수 있습니다.

4. history 체크 (각 계정별 .bash_history)
: history를 열람하면 계정의 명령 수행 이력을 확인할 수 있습니다. 뚫렸다고 의심되는 계정이 있을 때 확인해보는 것이 좋습니다.

5. 실행중인 process 체크 (ps aux O-C | head -n 10)
: ps aux에 O-C를 입력하면 CPU를 많이 사용하는 순으로 정렬해주며, head 구문을 추가하면 상위 n개만 확인할 수 있습니다. 이를 통해, 처음보는 process 혹은 이상하게 리소스를 많이 잡아먹는 process를 추척할 수 있습니다.

6. 수상한 파일 혹은 디렉토리 찾기 (find /dev -type f)
: 글을 작성하면서 검색하다가 발견한 내용입니다. 위의 명령을 수행했을 때 나타나는 파일이 있다면 백도어 공격 정황을 의심해볼 수 있다고 합니다.

 

기타

- netstat 명령을 이용해, 사용하지 않는 포트가 오픈되지는 않았는지 확인
- cat /etc/passwd 명령을 이용해, 처음보는 계정이 추가되지 않았는지 확인

 

p.s : 모든 보안은 뚫리기 전에 막는게 핵심입니다.