침해사고분석 실습 6

록키 리눅스 분석

여러 작업이 수행된 파일 분석

1. 사용자 계정으로 접속
   • 계정 목록에 없음 클릭:
     • 이름: root
     • 패스워드: 록키10!
2. 로그 확인
   • 홈 디렉토리로 이동:

     cd ~
     ls -al
     

   • 로그 파일 복사 및 확인:
     • .bash_history 정보가 덮어쓰일 가능성이 있으므로 별도의 파일에 복사:

       cp one.txt .bash_history
       vi one.txt
       

     • 확인된 작업:
       • Apache 웹 서비스 관련 작업 다수.
       • Cron 탭 변경 기록.
       • FTP 작업 내역.
       • Firefox로 127.0.0.1/login.php 접속 흔적.
   • Cron 탭 설정 확인:

     vi /etc/crontab
     

     • 매 정각마다 HTTP 서비스를 재시작하도록 설정되어 있음.
   • FTP 설정 확인:

     vi /etc/vsftpd/vsftpd.conf
     

     • 익명 계정(anonymous) 접속 가능으로 설정되어 있음.

참고: /var/log/ 경로에는 삭제되지 않은 한 거의 모든 로그가 저장되어 있음.