“Linux 서버에 악성코드가 다운된 것 같아요” 리눅스 서버 침해사고분석

1. 프로세스 확인
ps aux
프로세스가 매우 많다면
uid가 0이거나 악성 코맨드를 실행하거나
ps aux | grep 파일명
ps aux | grep 사용자

프로세스를 찾았다면
프로세스가 열고 있는 파일 확인
# lsof -p [pid]

2. 연결된 세션 확인
# netstat -taopen

3. 파일 확인
의심되는 기간 이후로 생성된 파일 찾기
# find / -mtime -n -type f (n일동안 생성된 파일찾기)
# find / -ctime -n -type f (n일동안 변경된 피일 찾기)

특수권한을 가진 파일 찾기
# find / -uid 0 -perm 4000 (SetUID)
# find / -uid 0 -perm 2000 (SetGID)
# find / -uid 0 -perm 1000 (Sticky-bit)


4. 파일 실행여부 확인
프로세스 점검

5. cron 설정 여부 확인

6. 로그 점검
로그인 성공여부
# lastlog
로그인 실패여부
# lastb
원격접속 등의 로그
# vi /var/log/secure

에러로그
#/var/log/messages
# dmesg
메일로그
#/var/log/maillog
Ftp로그
#/var/log/xferlog
웹서버 로그 (access log)
감사로그
#/var/log/audit

7. 명령어 실행여부
# lastcomm
# acctcom
# history