침입 탐지 방법 및 절차
특별한 장소 또는 행위로부터의 접속에 대한 로그파일을 조사한다. last, syslog, 프로세스 로그와 그밖에 다른 로그들을 조사한다. 방화벽 또는 라우터에 의한 로그 기록이 있을 경우 조사한다. setuid, setgid 파일을 조사한다. 침입자는 종종 추후에 루트권한으로 접속하기 위해 /bin/sh 또는 /bin/time과 같은 백도어 파일을 남겨둔다. 다음의 방법으로 setuid, setgid 파일을 찾는다. # find / -user root -perm -4000 -print # find / -group kmem -perm -2000 -print NFS/AFS 마운트 시스템에서는 다음과 같은 명령어를 이용한다. #find / -user root -perm -4000 -print -xdev set..
2019. 12. 3. 13:32