문서의 선택한 두 판 사이의 차이를 보여줍니다.
secu002 [2015/02/06 11:32] minetech |
secu002 [2015/02/09 11:02] (현재) minetech |
||
---|---|---|---|
줄 265: | 줄 265: | ||
==== [조치 내역] ==== | ==== [조치 내역] ==== | ||
+ | |||
+ | * ClamAV 설치 | ||
+ | |||
+ | <file> | ||
+ | 4.1 ClamAV 설치 | ||
+ | [root@egovWas2 ~]# yum install clamav clamd | ||
+ | |||
+ | 4.2 ClamAV 바이러서 데이터베이스 업데이트 | ||
+ | [root@egovWas2 ~]# freshclam | ||
+ | |||
+ | 4.3 검사 | ||
+ | |||
+ | - home 디렉토리와 그 하위 디렉토리를 검사 | ||
+ | [root@egovWas2 ~]# clamscan -r /home | ||
+ | |||
+ | - clamscan 결과를 로그 파일로 남기고 싶으면 | ||
+ | [root@egovWas2 ~]# clamscan -r /home -l clamscan.log | ||
+ | |||
+ | [root@egovWas2 ~]# 감염된 파일을 특정 디렉토리로 이동하려면 | ||
+ | [root@egovWas2 ~]# clamscan -r /home --move=DIRECTORY | ||
+ | </file> | ||
+ | |||
+ | |||
+ | * RootKit Hunter 설치 및 매일 실행하는 cron 등록 | ||
+ | <file> | ||
+ | |||
+ | 5.1 rkhunter 설치 | ||
+ | [root@egovWas2 ~]# yum list | grep rkhunter | ||
+ | |||
+ | [root@egovWas2 ~]# yum install rkhunter | ||
+ | |||
+ | 5.2 Update rkhunter | ||
+ | To check the currently installed version enter the following | ||
+ | [root@egovWas2 ~]# /usr/local/bin/rkhunter --versioncheck | ||
+ | |||
+ | Run the updater by issuing the following command: | ||
+ | [root@egovWas2 ~]# /usr/local/bin/rkhunter --update | ||
+ | |||
+ | With our database files refreshed, we need to tell rkhunter to check the current values and store them as known-good values: | ||
+ | [root@egovWas2 ~]# /usr/local/bin/rkhunter --propupd | ||
+ | |||
+ | 5.3 Manual Scan | ||
+ | Step 1] 시작하기 전에 rkhunter 가 사용할 DB를 생성 | ||
+ | |||
+ | [root@egovWas2 ~]# rkhunter --propupd | ||
+ | |||
+ | Step 2] 실행명령어 | ||
+ | [root@egovWas2 ~]# rkhunter --check | ||
+ | 또는 | ||
+ | [root@egovWas2 ~]# rkhunter -c --rwo // warning메세지,비정상적인 결과만 출력 | ||
+ | |||
+ | 5.4 Automate Rootkit Hunter | ||
+ | |||
+ | [root@egovWas2 ~]# touch /etc/cron.daily/rkhunter.sh | ||
+ | [root@egovWas2 ~]# chmod 755 /etc/cron.daily/rkhunter.sh | ||
+ | [root@egovWas2 ~]# vi /etc/cron.daily/rkhunter.sh | ||
+ | |||
+ | #!/bin/sh | ||
+ | ( | ||
+ | /usr/local/bin/rkhunter --versioncheck | ||
+ | /usr/local/bin/rkhunter --update | ||
+ | /usr/local/bin/rkhunter --cronjob --report-warnings-only | ||
+ | ) | /bin/mail -s 'rkhunter Daily Scan Report (PutYourServerNameHere)' your@email.here | ||
+ | |||
+ | </file> | ||
rootkit 감염된 파일을 살펴보면 등록되지 않은 사용자와 그룹으로 만들어져 있고 해당 파일들의 속성이 변경되어 삭제할 수 없게 되어있다. 따라서 그 속성을 먼저 변경해 줘야 한다. | rootkit 감염된 파일을 살펴보면 등록되지 않은 사용자와 그룹으로 만들어져 있고 해당 파일들의 속성이 변경되어 삭제할 수 없게 되어있다. 따라서 그 속성을 먼저 변경해 줘야 한다. | ||
줄 416: | 줄 481: | ||
</file> | </file> | ||
- | |||