루트킷 확인을 위한 rkhunter 설치 및 사용법
 
루트킷이란 루트권한을 획득한 공격자가 심어놓은 프로그램을 숨기기 위한 목적으로 사용되는 프로그램입니다.

---------------------------------------------------
먼저 rkhunter 설치프로그램을 다운로드 하겠습니다.
 
 

# tar -xvzf rkhunter-1.4.0.tar.gz 

 
 
# cd rkhunter-1.4.0
 
# sh installer.sh  --install
설치 완료
 

설정파일은 /etc/rkhunter.conf
 
 
84번 라인 MAIL-ON-WARNING= 부분은 경고메일을 받을수 있도록 설정하는 라인 빼고는 특별히 만질것은 없습니다.

(수시로 체크하실것 아니면 주석 처리하면 됩니다.)
 
---------------------------------------------------
실행명령어는
# rkhunter --check 
또는 
# rkhunter -c --rwo  // warning메세지,비정상적인 결과만 출력
입니다.
 
시작하기 전에 rkhunter 가 사용할 DB를 생성합니다.
rkhunter --propupd
 
 
rkhunter -c --rwo 명령어로 실행해보겠습니다.
 
 
 
rootkit hunter 스캔 순서는
1.알려진 rootkit 존재 여부
2.알려진 rootkit 관련 파일 존재 여부,백도어 존재 여부, sniffer 로그 존재 여부
3./etc/rc.d/rc.sysint , /etc/xinetd.conf 파일에 의심스런 설정 추가 여부 스캔
4./bin/ps /bin/ls /bin/netstat 등 자주 변조되는 파일의 변조 여부 스캔
5.로드된 모듈 스캔
6.자주 쓰는 백도어 포트 스캔(2001,2006,2128,14856,47107,60922)
7.NIC의 promisc 여부 스캔
8.유저와 그룹 파일의 변조 여부 스캔
9./etc/rc.d/rc.local 및 rc.d/ 디렉토리 이하 여부 스캔
10. /dev내 수상한 파일 스캔
11. 특정 응용 프로그램의 패치 여부 스캔
12. ssh 보안 설정 등 기타 보안 설정 스캔
-------------------------------------------------------------------------
warning 으로 나오는 부분은 변조되었다거나.. 위험도가 높은것이므로 사용자가 따로 설정한게 아니라면
확인하여 삭제 혹은 정상파일로 대체하시면 됩니다.
체크된 내용중 warning 메세지가 출력된 부분을 살펴보겠습니다.
 
 
 
 
 
 
 
 
 
//주석을 해제해주면 yes로 돼있다고 또 경고를 줍니다. 보안상 no로 해놓고 특정 계정으로 수권한을 획득하는게 가장 좋습니다. 
 
 
 
 
 
 
 
이 외에도 수많은 warning 메세지가 있을수 있으니 구글링을 하여 삭제or복원하여 해결하면 됩니다.

----------------------------------------------------------------------------------
기타 명령어
# rkhunter --update // rkhunter 업데이트가 활발하기 때문에 주기적으로 업데이트할것


저작자표시 (새창열림)

'job > linux' 카테고리의 다른 글

hp cli(os단) 레이드 잡는법, 삭제하는법  (0) 2018.09.06
대량메일 발송 특정 IP 혹은 계정 찾기  (0) 2018.09.03
컴파일 빠르게 하기  (0) 2018.09.03
메모리덤프  (0) 2018.09.03
lime 포렌식  (0) 2018.09.03

컴파일 빠르게 하기

 

make의 옵션중 j 옵션을 사용한다.

 

이 옵션은 여러개의 쓰레드를 사용하여 병렬적으로 빌드하여 속도를 올려주는 옵션

 

방식은

 

make -j (코어갯수 + 1)  

ex) make -j 5    // 코어갯수 4개

 

코어갯수 확인은 cat /proc/cpuinfo | grep cores | wc -l

 

 

옵션을 안주고 그냥 make 할경우

이런식으로 하나의 코어만 사용하는데

 

make -j 옵션을 사용했을경우

이런식으로 모든 코어를 사용하는걸 확인할수 있다.

 

8분정도 걸리는 make 작업은 2분정도로 단축됐음

저작자표시 (새창열림)

'job > linux' 카테고리의 다른 글

대량메일 발송 특정 IP 혹은 계정 찾기  (0) 2018.09.03
rkhunter 설치  (0) 2018.09.03
메모리덤프  (0) 2018.09.03
lime 포렌식  (0) 2018.09.03
yum 에러날경우  (0) 2018.09.03

<meta http-equiv="Content-Type" content="text/html; charset=ksc5601" /></style>

윈도우 2008 서버 이전시 iis 설정 이전 방법

------------------------------------

 

appcmd 라는 명령어로 iis7 설정을 백업/복원 할수 있지만 서버 이전에는 쉽지않다.

그래서 web deployment 라는 툴을 사용하여 이전한다.

다운로드

 64-bit version: http://download.microsoft.com/download/8/9/B/89B754A5-56F7-45BD-B074-8974FD2039AF/WebDeploy_amd64_en-US.msi 

32-bit version: http://download.microsoft.com/download/8/9/B/89B754A5-56F7-45BD-B074-8974FD2039AF/WebDeploy_x86_en-US.msi 

 

다운로드하여 설치한다.

1

설치가 완료되면 위와같이 서버 패키지 내보내기/서버 또는 사이트 패키지 가져오기 항목이 생긴다.

서버 패키지 내보내기를 클릭한다.

 

2

서버 패키지 내보내기 화면

 

 

3

여기서 중요

iis 설정뿐만 아니라 해당 웹/ftp 의 디렉토리 까지 저장 되기때문에 체크를 해놓으면 굉장히 오래걸릴 수 가 있다.

 

 

4

위와같이 해당 디렉토리까지 이전된다.

 

 

5

위와같이 디렉토리는 체크를 해제해준다.

 

 

 

6

웹사이트 콘텐츠에 포함된 폴더 및 파일들의 ACL 권한 정보를 포함하여 패키징 할것인지 여부

기본값은 false로 ACL 정보를 포함하지 않는다.

 

7

위처럼 true 로 바꾼다.

 

그뒤로는 전부 다음 누르고 패키지를 저장하면된다.

 

그리고 이전용 서버에도  web deployment 를 설치해주고 패키지 가져오기 하면 이전 완료

저작자표시 (새창열림)

'job > windows' 카테고리의 다른 글

appcmd message:Failed to generate item output. The data area passed to a system call is too small.  (0) 2019.01.18
linux inode window fileid  (0) 2019.01.11
윈도우 2012 원격 세션 제한  (0) 2018.09.03
iis 에러 로그  (0) 2018.08.31
윈도우 tail 명령어 사용하기 / 현재 디렉토리 에서 cmd 창 열기  (0) 2018.08.31

+ Recent posts

티스토리툴바