1. 초기 분석 목적
피해 시스템이 네트워크에 연결된 상태에서 사고 분석에 필요한 가능한 많은 정보 수집
공격흔적 및 원본 회손 최소화
휘발성 상태 분석을 할 수 있는 상태이기 때문에 중요함(네트워크 상태, 실행중인 프로세스 상태, 메모리...)
2. 분석 툴 사용하기
CD 롬, 플로피 디스크 마운트(Linux 경우)
mount /dev/fd0 /mnt/floppy 또는 mount /mnt/floppy
mount /dev/cdrom /mnt/cdrom 또는 mount /mnt/cdrom
네트워크 마운트
만일 네트워크 사용이 가능하면, nfs 마운트 후 사용도 가능
3. 시스템 환경정보
uptime – 부팅후 시스템이 가동한 시간
uname – 시스템 이름, 커널 버전 등(uname – a)
df – 파일시스템 정보 (df – k)
env/printenv/set – 환경변수 정보
ps – 사용중인 프로세스 정보cf) top – Linux, Solaris 등
topas – AIX 등
ps 옵션들
ps – aux
ps aux
ps – ef
ps – efl
4. 네트워크 상태 정보 1
netstat – TCP/UDP 및 UNIX SOCKET 등의 모든 활동 상태, 라우팅 테이블 정보
netstat –an
netstat –anp
netstat –nr
netstat –an | grep LIST
netstat –an | grep EST
ifconfig – 네트워크 인터페이스 상태확인/설정
ifconfig – a
PROMISC 인지 여부
5. 네트워크 상태 정보 2
lsof – i : netstat 와 비슷한 결과를 출력하나, 관련 프로세스 정보를 같이 출력함.
arp – a : arp 테이블을 보여즘.
6. 열려진 모든 파일 정보
fuser
fuser –v 파일 이름
lsof
lsof | grep 파일이름
7. 로그인 사용자 정보
w -> utmp
last -> wtmp
tty# 은 콘솔
pts#, ttyp# 은 원격로그인
1. Initial Analysis Purpose
Gather as much information as possible to analyze incidents while the victim system is connected to the network
Minimize attack traces and original recoveries
Important because it is in a state where volatile status analysis can be performed (network status, running process status, memory...)
2. Using Analysis Tools
CD ROM, floppy disk mount (for Linux)
mount /dev/fd0 /mnt/floppy 또는 mount /mnt/floppy
mount /dev/cdrom /mnt/cdrom 또는 mount /mnt/cdrom
Network Mounting
If the network is available, it can be used after nfs is mounted
3. System Environment Information
Uptime – Time the system was up and running after boot
uname – System name, kernel version, etc. (uname – a)
df – File System Information (df – k)
env/printenv/set – Environment variable information
ps – Process information in use cf) top – Linux, Solaris, etc
topas – AIX 등
ps options
ps – aux
ps aux
ps – ef
ps – efl
4. Network Status Information 1
netstat – All activity status, routing table information, such as TCP/UDP and UNIX SOCKET
netstat –an
netstat –anp
netstat –nr
netstat –an | grep LIST
netstat –an | grep EST
ifconfig – Network Interface Status Check/Settings
ifconfig – a
PROMISC or not
5. Network Status Information 2
lsof – i : Outputs results similar to netstat, but also outputs relevant process information.
arp – a : Show arp table.
6. All open file information
fuser
fuser –v File Name
lsof
lsof | grep filename
7. Login User Information
w -> utmp
last -> wtmp
tty# is a console
pts#, ttyp# is a remote login
'리눅스와 웹개발' 카테고리의 다른 글
시스템 보안 VIII (196) | 2024.01.14 |
---|---|
시스템 보안 VII (54) | 2024.01.12 |
시스템 보안 V (50) | 2024.01.09 |
시스템 보안 IV (39) | 2024.01.08 |
시스템 보안 III (34) | 2024.01.07 |