[보안] chkrootkit 을 통한 백도어 설치 탐지

보안, chkrootkit 을 통한 백도어 설치 탐지

백도어는 chkrootkit 이란 툴을 이용하여 탐지할 수 있다.

# wget ftp://ftp.pangeial.com.br/pub/seg/pac/chkrootkit.tar.gz

# tar xvfz chkrootkit.tar.gz

# cd chkrootkit-0.45

# make sense

# ./chkrootkit

결과가 나오는데 이상한 부분이 있다면 대책을 새워야 한다.

어떤 대책을 세워야할지 모르면, 정부관련기관이나 securityproof 사이트에 협조를 구할 수 있다.

파일 퍼미션 설정을 통한 로컬 공격 방지

웹 공격을 통해 획득할 수 있는 것은 nobody 또는 apache 권한.

이는 웹 서버 설정 파일인 httpd.conf 파일 설정에 따라 용어는 달라질 수 있으나 개념은 같다.

웹 권한을 획득하면 웹 페이지 변조가 가능할 수 있고, 로컬 공격을 할 수 있다.

이를 대비하여 공격자가 원활한 로컬 공격을 하지 못하도록

파일 퍼미션을 설정하면 방어가 가능하다.

사용자 계정이 많은 경우가 아니면

/bin 디렉토리에 있는 파일들의 모든 퍼미션을 700 으로 수정한다.

그리고 다른 사용자들에게 필요한 파일들만 permission 을 열어준다.

/usr/sbin 디렉토리는 lsof 파일을 700 으로..

/proc 디렉토리는 디렉토리 자체를 700으로..

cf)

/bin 핵심이 되는 binary 들이 들어있다.

/sbin root 에 의해 실행되는 system binary 들이 들어있다. sbin 에 있는 내용을 사용하려면 일반 유저는 sudo 권한이 필요한다.

/usr/bin , /usr/sbin office tool 과 같은 중요하지 않은 binary 들이 들어있다.

cf)

/proc 은 process 에 관련된 정보를 가지고 있다.

웹 서버 보안

1. httpd.conf 파일 설정

웹 서버 Apache 의 설정 파일.

/etc/httpd/conf 에 있다.

우선 httpd.conf 는 퍼미션이 600 이 되어야 한다.

...

# 웹 상으로 운영체제 정보나 민감한 정보 노출을 방지한다.

# 공격자는 일부러 에러를 내서 서버 정보를 확인하는 경우가 많다.

# ServerTokens OS

ServerTokens Prod

...

# <Directory />

# Options FollowSymLinks

# AllowOverride None

# </Directory>

<Directory />

 Options

 AllowOverride None

</Directory>

...

# Indexes 라는 부분을 두면 특정 디렉토리의 파일 내용이 모두에게 보인다.

#Options Indexes FollowSymLinks

Options FollowSymLinks

...

#DirectoryIndex index.html index.html.var

DirectoryIndex index.html

...

2. php.ini 파일 설정

/etc 에 있다.

...

;safe_mode=Off

safe_mode=On

...

; Error Page 또는 Warning Page 노출을 피한다.

; 공격자들은 일부러 에러를 발생하여 서버에 대한 정보를 얻기 때문.

;display_errors=On

display_erros=Off

...

;특별한 이유가 없다면 Off

;register_globals=On

register_globals=Off

...

;SQL Injection 과 같은 공격을 막는데 도움이 된다.

;magic_quotes_gpc=Off

magic_quotes_gpc=On

...

;특별한 이유가 없다면 앞에 붙여준다.

;allow_url_fopen=On

...

위의 httpd.conf 와 php.ini 의 수정이 끝나면

httpd 데몬을 반드시 다시 시작해주어야 한다.

# /etc/rc.d/init.d/httpd restart

600, 700, allowoverride none, allow_url_fopen, Apache, apache 설정 파일, Bin, chkrootkit, chkrootkit 을 통한 백도어 설치 탐지, dieplay_errors, directory, DirectoryIndex, etc, file permission, httpd restart, httpd.conf, local attack, lsof, magic_quotes_gpc, Nobody, Options, options fllowsymlinks, options followsymlinks, options indexes fllowsymlinks, php.ini, proc, process, register_globals, safe_mode, sbin, securityproof, servertokens, servertokens os, servertokens prod, system binary, 결과, 로컬 공격, 방어, 보안, 웹 서버 보안, 웹 페이지 변조, 정부관련기관, 파일 권한, 파일 퍼미션