보안
지각생 연습장
목차 |
시스템 별 보안
보안 툴
리눅스에서 사용가능한 해킹/보안 관련툴들에 대한 분류입니다. 분류참조 : "리눅스 서버관리 실무바이블" 페이지 970
서버취약점 점검 툴
- Cops (Computerizes Oracle and Password System) : 대표적인 보안점검 도구
스캐너관련 툴
- SAINT : 관리자용 네트워크 진단도구
- PortSentry : 대표적인 스캐닝방어도구이며 가장 많이사용하는 보안도구
- nmap : 서버의 취약점을 점검해주는 보안도구(해킹도구로도 사용됨)
- ISS (Internet Security Scanner) : 상업적인 스캐닝도구
- Nessus : 서버내의 취약점(헛점)들을 점검해주는 도구
- CGI scanner : 웹서버의 취약점을 스캐닝하는 도구
- Courtney : per로 되어 있는 SATAN, SAINT 검색기
- IcmpInfo : DOS공격등을 하는 ICMP 프로토콜의 감시도구
- scan-detector : UDP 스캔검색
- klaxon : 포트스캔검색도구
- SuperScan : 윈도용 포트스캔(Port Scan)의 대표도구 (Download)
- Teleport Pro : 웹사이트(홈페이지) 스캔전용 툴(Download)
Thank you so much for this atrilce, it saved me time!
침입발견도구들
- chkwtmp : wtmp파일에서 삭제된 부분을 검사하는 도구
- tcplogd : Stealth scan을 발경할 수 있는 침입발견도구
- Snort : 대표적인 침입발견도구
- HostSentry : 허용되지않은 로그인이나 침입발견 도구
- Shadow : Stealth Scan 발견툴
- MOM : 분산침입 발견도구
- AAFID : MOM과 같은 분산침입 발견도구
로그감시도구들
- SWATCH (Simple Watch) : 실시간 로그인감시 툴
- Watcher : 시스템로그와 데몬들의 실행상태를 감시하는 툴
- PingLogger : ping이 사용하는 프로토콜인 ICMP관련 로그를 감시하는 툴
- Analog : SWATCH와 함께 잘 알려진 로그감시 툴
방화벽 도구들
- Tcp Wrapper : 가장 대표적인 방화벽도구 tcpd
- ipfwadm : 방화벽 도구, 일명 패킷필터링 도구
- ipchains : 리눅스에 기본으로 설치되는 강력한 방화벽 도구
스니퍼관련 도구들
- linsniffer : 대표적인 스니핑도구
- linux_sniffer : 리눅스에서 사용가능한 스니핑도구
- hunt : 세션스누핑이 가능한 도구
- sniffit : 설정기능이 있는 스니핑도구
- ifconfig : NIC(랜카드)설정 및 네트워크상태 확인도구
- ifstatus
- NEPED (Network Promiscuous Ethernet Detector) : 네트웍카드 스니핑도구
스푸팅도구들
- mendax : IP Spoofing 도구
- seq_number.c
- ipspoof : 잘 알려진 스푸팅 도구
- snoof : DNS 스푸핑 도구
- ERECT : DNS 스푸핑 도구
- jizz : DNS 스푸팅 도구
- spoofscan : Rootshell이 만든 스푸팅 도구
- pmap_sett/unset : 패트릭 길버트가 만든 스푸핑 도구
- ICQ File transfer spoofer : ICQ 스푸핑 도구
- syslog-poison.c : 514번 포트를 사용하는 스푸핑 도구
- ICQ Hijaak : Wolveesbane이 만든 스푸핑 도구
- icqspoof.c : Seth McGann이 만든 스푸핑 도구
- RIP Spoofer : Kit Knox가 만든 스푸핑 도구
- syslog_deluxe : Yuri Volobuev가 만든 스푸핑 도구
- spoofkey : Greg Miller가 만든 스푸핑도구
- sirc4 : IRC와 Telnet 스푸핑 도구
파일무결성 검사툴
- Tripwire : 가장 대표적인 파일무결성 검사툴
- TAMU : The Texas AMU로서 파일무결성 검사툴
- trojan.pl : perl로 제작되어 이식성이 강한 파일무결성 검사툴
기타도구들...
- http://www.astalavista.box.sk
- WWWhack 1.922-82 - ability to crack pop3, ftp, http (basic), and http (form) passwords (199514 hits)
- http://neworder.box.sk/codebox.links.php?key=wwwcrks
- http://www.psygonx.de/Cracks/cracks.html의 도구들중...확인하지 않은 도구들
보안 점검
참고 : superuser.co.kr
해킹 의심될 때
- root로 로그인후 HISTFILE=/dev/null
- script cap.txt 실행하여 실행 결과 저장
- ps aux, netstat ?lnp로 이상 확인
- chkrootkit으로 binary 변조 여부 확인
- 외부에서 nmap등으로 포트스캔하여 백도어 포트 여부 확인
- last로 이상 접속 여부 확인
- nessus등을 실행하여 취약성 여부 확인
- 설정 파일의 변경 여부 확인
- /tmp등에 비정상 파일 존재 여부 확인
해킹 확인 시
- 백도어나 변조된 파일을 확인하여 해킹 수준을 확인(root인지등..)
- root 레벨인 경우 네트워크 연결 단절후 콘솔에서 작업
- 불가하다면, 시스템의 IP를 다른 IP로 변경하여 접속하여 작업
- 가능한대로 데이터 백업 여부 확인 및 데이터 백업
- chkrootkit등으로 변조된 파일, 백도어 파일 확인하여 원본 파일로 교체
- 변조된 파일은 삭제하지 말고, 임의의 디렉토리에 모은다.(추후분석위해)
- 부팅 스크립트나 cron을 확인하여 백도어 자동실행 여부 확인
- 어떤 취약성을 이용하여 권한을 획득하였는지 확인 후 취약성 패치
- iptables 방화벽등을 이용하여 접근 통제 설정
참고 자료
KIDC에서 보내준 내용
- 기술문서 : http://www.krcert.or.kr/technicalDocList.do
- 보안공지 : http://www.krcert.or.kr/secureNoticeList.do
- UNIX 피해 시스템 분석 및 침입자 모니터링 : Part I v1.0
- 유닉스 로그분석을 통한 침입자추적 및 로그관리 Part I, Part II
- Windows 2000/NT 시스템 해킹 분석 절차
- 스팸 Bot을 이용한 피싱 스팸 발송 시스템 분석 보고서
- 개인 PC를 이용한 스팸 메일 발송 분석 보고서
- 윈도우즈 시스템 보안 도구 :FPORT
- 윈도우즈 IIS 방화벽
- 리눅스 Apache 방화벽
- WebKnight를 이용한 SQL Injection 공격 차단 (윈도우즈/IIS)
- WebKnight 설치 운영 FAQ
- ModSecurity를 이용한 아파치 웹 서버 보안 (리눅스/Apache)
- 무료 웹 취약점 점검 서비스
- 홈페이지 개발 보안 가이드
- 대규모 홈페이지 변조사례 및 보안대책
- SQL Injection 취약점을 이용한 윈도우즈 웹 서버 사고 사례
- 웹 해킹을 통한 악성 코드 유포 사이트 사고 사례
기타 추가적인 자료 및 정보는 http://www.kisa.or.kr에 방문하시면 얻을 수 있습니다.
- Securityfocus (News, Report , Patch info) : http://www.securityfocus.com
- PacketStorm (Exploit & Test Source PDS) : http://packetstormsecurity.org
- ISS Team.co : http://www.iss.net
- Nmap (Network Mapper - 강력한 공개 네트워크 점검 도구) : http://insecure.org
- Snort IDS Tools (무료 IDS & IPS 구축) : http://snort.org
- Firewall 관련 자료 : http://iptables.org, http://www.fwbuilder.org