본문 바로가기

정보보호 (Security)369

최근 리눅스 해킹 동향에 대해... (PDF 첨부) 오늘과내일 홍석범(antihong@tt.co.kr) 최근 리눅스 기반의 서버에서 자주 목격되는 해킹 동향에 대해 알아보도록 하자. 리눅스 해킹의 순서 최근 리눅스 기반의 서버에 대한 공격자들은 다음과 같은 순서로 진행을 하는 것으로 보인다. (1) 일반유저 권한 획득방법 ① ssh를 통한 무작위대입법 ② 웹 응용프로그램의 취약성을 이용한 웹 해킹 (2) root 권한 획득방법 커널(kernel)의 취약성을 이용한 root 권한 획득 커널(kernel)의 취약성을 이용한 root 권한 획득에 대비하기 위해서는 적어도 2.4.30 이후의 최신 버전을 사용하면 되므로 여기에서는 일반유저 권한 획득에 방어하기 위한 방안에 대해 좀 더 자세히 살펴보기로 한다. # ssh를 통한 무작위대입법(brute force).. 2008. 12. 30.
[WebKnight] 웹나이트 룰 적용 이후 결과와 주저리~ 금번 쿠키의 취약점을 악용한 Mass SQL 인젝션과 관련하여 예전에 제가 별도로 운영하고 있는 일종의 허니넷에 웹나이트 룰을 수정하고, 결과를 지켜보는 중이라는 글을 올린 적이 있었습니다.(바로 이글입니다요~) 최근 개인적인 사정으로 그 결과를 정리하지 못하고 있었는데 Zasfe님께서 그 결과가 궁금하다고 하셔서 시간을 내어 일부만 정리하여 포스팅합니다. '웹나이트 룰 수정 이후 효과가 있는가?'라고 여쭤보신다면 일단 '있습니다.'라고 답변을 드릴 수 있을 것 같습니다. 단, 블로그에 포스팅하지 않은 많은 부분이 추가되고, 수정되었습니다.(귀차니즘 때문에… 헐퀴~) 이미 적용되어 있었던 것도 있었습니다만, 제가 별도로 공개하거나 포스팅한 적은 없었기 때문에 같이 정리합니다. 많은 분들이 알고 계시다시피.. 2008. 12. 30.
아파치 웹서버 보안 웹방화벽 적용 가. 웹 서버 프로세스를 위한 계정Apache와 관련된 사용자 계정은 크게 두 가지가 있다.● Apache 서버가 설치 및 구동을 위한 계정 - 운영체제에 로그인하여 Apache를 설치하고, 웹서버를 시작/종료 시키는 계정※ 웹 서비스를 위한 포트로 1024번 미만 포트번호(80 번 포함)를 사용하기 위해서는 이 계정이 root이어야 한다.● 웹 서버 프로세스를 위한 계정 - 웹 서버 데몬이 시작된 후 일반사용자의 웹 접속을 처리하기 하기 위하여 생성되는 프로세스가 사용하는 계정“웹서버 프로세스 계정”의 경우 반드시 로그인할 수 없는 계정 즉, 쉘(shell)이 없는 계정으로 설정하여야 한다. 일반적으로는 사용자 ID와 그룹으로 쉘이 없는“nobody”계정을 사용한다. 아래 그림처럼 /etc/passwd.. 2008. 12. 18.
WebKnight 설치 후 발생하는 문제 해결법 Q. WebKnight 설치 후 정상적인 서비스 접속이 차단되고 WebKnight 경고창이 뜹니다. A WebKnight의 기본 설정은 상당히 엄격하게 되어 있어 정상적인 웹접속 요청이 차단될 수 있습니다. 따라서, 설치 후 WebKnight 설정을 로깅모드로 전환한 후 룰을 최적화 시키는 과정이 필요합니다. 먼저, Config.exe를 실행하여 「Incident Response Handling」 섹션의 "Response Log Only"를 enable 합니다. 이는 패턴이 일치하더라도 실제 차단시키지는 않고 로그만 남기도록 하는 것입니다. 로그파일에서 “BLOCKED" 메시지를 확인하여 정상적인 웹요청이 차단된 경우 해당 룰을 수정 또는 제거하시기 바랍니다. 일정시간동안 정상적인 웹요청이 차단되지 않음.. 2008. 12. 16.
728x90