해킹이 아닙니다..
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 2,816 조회
- 1 댓글
- 0 추천
- 목록
본문
안녕하십니까?
리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.
Aug 18 21:12:07 localhost xinetd[26924]: libwrap refused connection to telnet from 66.103.134.130
==> 이는 tcp wrapper를 통해 접근을 차단하였다는 의미입니다.
로그분석을 할 때는 제일 먼저 시스템의 정상적인 로그인지 여부를 확인해 보셔야 합니다. 아래와 같은 경우 다음의 두가지를 유념해서 보시면 해킹 여부를 아실 수 있습니다.
Aug 19 04:02:03 localhost cups: cupsd shutdown succeeded
Aug 19 04:02:03 localhost cups: cupsd startup succeeded
먼저 로그 발생시각입니다. 오전 4시 2분이면, /etc/crontab에 설정되어 있는 cron.daily의 시각과 매우 유사합니다. 이를 통해 /etc/cron.daily/에 있는 스크립트에서 실행되고 있는 것이라고 추측할 수 있습니다.
두번째는 실행 시각입니다. 위의 로그를 보면 실행 시각은 약 1초내로 되어 해킹이나 공격이 아닐 가능성이 높습니다. 로그를 보면 cupsd 라는 데몬이 작동한 것인데, /etc/cron.daily에서 관련 스크립트를 보시고 불필요한 스크립트라면 삭제하시는 것이 좋습니다. http://www.cups.org/ 를 보시면 cups에 대한 설명이 나오는데, 유닉스 기반하에서의 printing system이니 삭제하셔도 무방할 듯 합니다.
리눅스서버보안관리실무로 찬찬히 공부를 하시면 많은 도움이 되실 것입니다.
감사합니다.
관련자료
-
이전
-
다음
Help님의 댓글
- Help
- 작성일