보안플그램 Lynis/nesus/clamav 깔아 써보신분계쎄요?
본문
혹시 Lynis/nesus/clamav 깔아보신분계쎄요?
저같은경우 어떤껄 깔아보고 사용하는게좋을까요?
아직 해킹한사람이 root권한획득은 못한듯하고요
webshell 아파치로 업로드해 놓긴한데
지금현재 서버 단독으로 저혼자쓰고
사이트 해봤자 개인홈페이지 그누로 만든거 하나이고
퍼미션도 저혼자쓰니 root 인데
제가 이상한프로그램 깔거나 하진않았거든요..
제 개인용서버에 누군가 들어와서 webshell 만들어놨습니다
그런데 제가 그누보드외에 기본적 php ㅡmariadb외엔 특별히깐건엇고요
단지 그누관련 플로그인 위젯 테마 그누보드관련 필요해보이는거 깔아놓긴했는데
그런데 어떻게 들어왔는진 모르겠지만
제가 만들지도않는 파일들이 webshell등이 심어져있더라고요
제가 rootkit 몇개 검사해봤는데 아직 해킹한사람이 root권한은 못얻었는듯한데
이상황에서 제가어떤 프로그램을 깔아놓고 검색해보고 방어해야할까요?
혹시 Lynis/nesus/clamav 깔아보신분계쎄요?
이상황에서 제에게 맞는 보안관련 검색 보안 프로그램 어떤게 맞을까요?
답변 3
clamav 에 말씀하신 웹셸 탐지 기능이 있긴 합니다.
다만 말씀하신 경우는 [이미 웹셸이 깔렸고] 그걸 후탐지해서는 큰 의미가 없습니다.
결국 침투 방식을 체크하지 못하면 동일 루트로 또 다른 형태의 공격을 받을 뿐입니다.
chrootkit + clamav + modsecurity(또는 webknight등) 등의 3방어 셋트 삼총사와 함께
iptables(firewall), selinux, fail2ban 등 기본적인 방어 셋팅을 모두 해두시고
웹셸이 침투해 들어오는 루트와 방법을 모두 방화벽 로그를 통해 체크가 가능한 상태로 끌어올리는게 좋습니다.
modsecurity 의 경우는 그누보드를 정상 작동 시키기 위해서는 SecRuleRemoveById 명령을 이용해서
제거해줘야 할 룰셋이 꽤 되므로, 먼저 풀 설치 후에 각 기능을 하나씩 작동시켜가며
룰을 하나한 제거해주는 과정이 필요합니다.
(기본 룰셋 상태에서는 각종 검색, html 글 작성, 유튜브 iframe 첨부조차 막히는지라..)
https://github.com/joosung/AAI/blob/master/APM/APMinstaller.sh 의 575번째 줄 참조하시고..
545줄의 chkrootkit 과 그외에 서버 관리자에게 필요한 다른 툴도 있으니 참조해서 설치해 보세요.
575번째줄 보세요. 제가 만든것은 아니고 아파치님이 만드신 것 입니다. www.apachezone.com 에 문의하시면 답변 받으실 수 있을 것입니다. 패스워드가 뚫리면(brute attack) 소용없으니 fail2ban같은 것도 도움이 될 것 입니다.