해킹당한 서버점검시...

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

만약 root 권한까지 빼앗긴 상태라면, 일단 root 암호를 변경하는 것은 그리 큰 의미가 없습니다. 왜냐하면 대부분의 공격자는 root의 암호를 알아서 접근하는 경우보다는 시스템의 취약성을 이용하거나 미리 설치한 백도어를 통해 root권한을 획득하기 때문입니다.  

따라서 다음의 절차로 서버에 대한 조사를 진행하셔야 합니다.


1. 어떠한 취약성을 통해 일반 유저 및 root 권한을 획득하였는가?

2. root 권한을  획득하였다면 백도어 또는 루트킷은 설치되어 있지 않은지, (특히  부팅스크립트나 CRON등에 백도어는 없는지 확인)
    그렇다면 해당 파일들을 찾아서 모두 삭제하셔야 합니다.(삭제전 모두 백업)
    그리고, 재침입을 막기 위해 가급적 네트워크를 단절하거나 IP를 변경하여 작업하는 것이 좋습니다.
    이때 중요한 파일에 대해서는 데이터 백업도 중요합니다.

3. 시스템(커널포함)에 대한 패치 및 업데이트를 하여 취약성을 모두 제거하십시오.
    특히 최근에는 커널의 취약성을 이용해 root 권한을 획득하기 때문에
    커널의 업데이트는 매우(!) 중요합니다.

4. 방화벽 및 해당 데몬이 제공하는 설정을 통해 엄격한 접근 통제를 하십시오.
    아울러 쉬운 암호를 사용하는 계정은 없는지 확인하십시오..
    

그리고, chkrootkit등의 프로그램을 이용하여 원래의 깨끗한 바이너리와 비교하여 시스템내 바이너리 파일의 변조여부를 확인하신 후 새로운 패키지를 설치하거나 덮어쓰시는 것이 좋습니다. 이때 추후의 조사를 위해 백도어 파일들은 삭제하거나 그대로 덮어쓰지 마시고 임의의 디렉토리에 옮겨두는 것이 좋습니다. 물론 재 설치가 간단하고 쉬운 일일 수 있습니다. 그리고 대부분의 문서에서나 대부분의 관리자들은 재설치를 하라고 합니다. 그렇지만 그렇게 되면 또 다시 해킹을 당할 수 있을 것이고, 또 해킹을 당할때마다 재설치를 하여야 할 것입니다. 그보다는 이번 기회에 자신의 취약성은 무엇인지 또 어떻게 대처하여야 하는지 배울 수 있는 기회로 삼는 것이 좋습니다. 

물론 위 과정은 쉽지 않은 절차이지만, 하나씩 순차적으로 따르게 되면 어느새 보안과 가까워진 것을 알 수 있을 것입니다. 

이제 네트워크에 연결된 이상 보안은 결코 남의 이야기가 아닙니다. 따라서 이번 기회를 거울 삼아 보안에 더욱 관심을 갖고 보안에 가까워질 수 있는 관리자가 되시기를 바랍니다.

앞에서 언급한 절차 및 사고예방을 위해  리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/)가 큰 도움이 되실 것으로 믿습니다.

감사합니다.