현재 kisa에 올라온 취약점 분석 상세가이드를 보고 bash script이용해서 linux(centos) 취약점 분석 스크립트를 작성중에 있습니다
U-60 숨겨진 파일 및 디렉터리 검색 및 제거 부분에서
불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 찾아내는 부분에서 살짝 막혀서 질문드립니다 .
제 생각은 초기 설치되었던 서버의 파일들(?)을 담고있는 log파일이나 정보등 을 확인해서 현재와 비교하는 식으로 찾아내려고 합니다
질문
처음 설치했던 linux파일들 정보가 있는 log(?)파일 이름이나 혹시 처음 설치와 대조할수 있는 파일정보가 있을까요
글 읽어 주셔서 감사합니다..ㅠ
16개의 댓글
무분별한 사용은 차단될 수 있습니다.
처신잘하라고
anaconda.log :리눅스 설치시 install된 패키지나 과정에대한 log파일
https://we-minarida.tistory.com/entry/logCentos-Log 이거 확인해 보시고 과정중에 설치된 파일 리스트를 만들 수 있지 않을까 싶은데요.
https://forums.centos.org/viewtopic.php?t=47635 이 페이지도 참조해 보시고요.
대책이라면
https://itinformation.tistory.com/240
이것도 생각해보면 좋을것 같아요.
nadau97
감사합니다 로그 파일 들여다 보고있는데
이제는 현재와 어떻게 비교해야 할지 찾으면 되겠네요 답글 감사합니다!
뱀고기
시스템 설치 직후에 파일 전체 경로랑 파일별 해시결과 저장했다가 나중에 대조해야되지 않을까
무결성 검증기능은 이렇게 구현하는 걸로 알고 있음
nadau97
답글 감사합니다
문제가 저희 서버가 아닌 남의 서버를 점검 해주는 식이라
뱀고기
리눅스 파일시스템에 숨김 기능은 없으니 대신 이상한 경로에 들어가 있는 파일 찾아내면 되지 않을까 함
배포판이랑 초기 설치한 버전은 알수 있으니까 클린 설치로 환경은 재구성할 수 있을거같음
nadau97
말씀은 점검할 서버의 버전이랑 똑같이 설치를 해서 파일별 해시저장한 다음 검사하라는 말씀이신건가요?
뱀고기
ㅇㅇ.. 너무 무리인가
처음 설치한 상태를 재현해야 대조할수 있을거같은데? 패키지 설치로그나 부팅로그에 안나오는 파일은 그거 말고는 딱히 방법이 안떠오름
nadau97
양호하다 취약하다 부분으로 나눌건 아니고
초기 설치했던서버와 현재 시점 서버의 "."숨김 파일로되있는 파일이 이정도 있다 검토해봐라 하고 던져주는 부분으로 할 예정이라서요...
뱀고기
아 맞다 .파일이 있었지
그거도 괜찮을듯 보통은 ls만 치고 디렉토리 체크할테니
nadau97
그럼 초기 패키지 설치로그 보고 .파일만 비교하면 되는것일까요 ???
뱀고기
업무 내용이면 상사나 고객한테 확인 받으셈...
nadau97
고런건 아니고 그냥 과제여서..
뱀고기
아하 정보보호 전공인가보네
방금 떠오른건데, 리눅스 시스템 디렉토리 (/boot, /usr, /bin, /sbin, /etc, /tmp) 에는 숨김파일이 있으면 안된다고 가정하고 사용자 홈 디렉토리랑 /var 하부 디렉토리에는 리눅스 타임스탬프 순으로 최근 액세스한 순서대로 파일들 볼거같음
근데 여전히 대조할 자료가 없어서 완벽한 방법은 아님
nadau97
혹시 죄송하지만 최근액세스라는 말이 살짝 헷갈리는데
최근 수정이나, 실행으로 봐도 될까요???
뱀고기
파일 타임스탬프 얘기였는데 ctime이 적합할꺼같음
nadau97
도움 주셔서 감사합니다! ㅠ