SIS 6
시스템 보안 12. lp취약점 패치

/* * http://sosal.tistory.com/ * made by so_Sal */ 솔라리스 2.8 시스템을 운영중에 파일프린팅에 사용되는 lp라는 root setuid 프로그램이 버퍼오버플로우 취약점이 있는 것으로 알려졌다. 하지만 파일 프린팅을 해야되기 때문에 이 프로그램을 제거할 수는 없고, 시스템의 용도때문에 root setuid를 제거할수도 없다. 이 lp라는 프로그램에 대해여 적절한 보안해결책을 모색하시오. 참고로, 다행히 OS제작사에서는 이 프로그램의 보안버전(patch)를 최근에 109320-04 패치번호로 발표된바 있으며, 이 패치파일을 /var/sadm/spool/patch/109320-04.zip 에 다운로드 받아놓았다. lp라는 파일을 확인해봤습니다. lp로 무언가를 하는것은..
Major Study./System hacking 2011.01.19

디지털 포렌식 - 공개도구를 이용한 분석

/* * http://sosal.tistory.com/ * made by so_Sal */ 고객으로부터 web server 게시판으로 upload가 되지 않는다는 항의가 접수 되었다. 해당하는 서비스는 당신이 관리하는 솔라리스 시스템의 /var 파티션과 관련이 있다. 문제의 시스템을 살펴 본 결과, 해당 파티션의 사용 가능한 공간 (available disk space)이 0 이었고, 여유 공간이 전혀 없는 상태였다. 그런데, 특이한 점은 해당 파티션 내에 문제를 발생시킬만한 크기의 파일을 찾을 수 없었다. 모든 상황을 고려해 볼때, 모종의 프로세스가 unlink된 어떤 파일에 대고 dummy data를 계속적으로 write하고 있을 가능성이 높은 것으로 생각된다. 해당 프로세스를 찾아 죽이고, 문제가 ..
Major Study./System hacking 2010.11.23 (1)

시스템 보안 08. kerberos를 이용한 암호화 NFS이용 문제

/* * http://sosal.tistory.com/ * made by so_Sal */ 솔라리스의 NFS(Network File System)을 이용하여 NFS서버로부터 파일시스템을 마운트하는 NFS클라이언트 시스템을 구축하고 싶다. 현재 네트웍에 존재하는 NFS서버의 hostname은 nserver 이며 NFS서버에서 제공하는 파일시스템은 /export/share이다. 그런데 위 NFS서버에서는 kerberos를 이용한 암호화 NFS만을 제공한다고 하며, 본 시스템(hostname은 nclient)은 이미 위 NFS서버의 principal에 등록이 된 상태이며, NFS서버로부터 kerberos ticket도 이미 받은 상태이다. Kerberos의 암호화 옵션을 이용하여 위 NFS서버의 파일시스템을 ..
Major Study./System hacking 2010.11.22

시스템 보안 07.checksum값을 이용한 백도어 검출 문제

/* * http://sosal.tistory.com/ * made by so_Sal */ Solaris시스템에 해커가 침입하여 root 권한을 빼앗기는 보안사고가 발생하였다. 해커가 침입을 한 상태에서 설치한 백도어를 찾아내야 한다. 그런데 이번 해킹패턴을 보면 /usr/sbin/ 디렉토리 있는 네트웍서비스 프로그램중에 하나가 백도어로 바뀐것으로 강하게 의심된다. 다행히도 해킹사고가 발생하기 이전에 /backup/usr/sbin 이라는 디렉토리를 만들어서 원본파일들을 이미 복사해 놓았다. 원본파일과 비교하여 백도어 프로그램을 찾아내시오. (찾아낸 후에 정답확인 프로그램을 실행하여 백도어 프로그램 파일명을 입력하시오). cksum이라는 명령어를 살펴보겠습니다. 파일에 CRC 체크섬과 바이트 개수를 출력한..
Major Study./System hacking 2010.11.22

시스템 보안 04.악성 프로그램 프로세스 종료 문제

/* * http://sosal.tistory.com/ * made by so_Sal */ 관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다. 다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서 행한 불법작업내역은 아직 확인하지 못하였다. 특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여 지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다. solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는 프로세스를 찾아서 강제종료 시키시오. --- 단순히 프로세스 목록을 찾아, 강제종료만 하면 되는 문제입니다. 의심스럽게 보이는 프로세스를 찾기 위해선, 일단 프로세스 목록을 보는 방법을 알아야합..
Major Study./System hacking 2010.11.22

시스템 보안 03.쉘 환경변수 변경 문제

/* * http://sosal.tistory.com/ * made by so_Sal */ 환경변수? / 네이버 백과사전 시스템의 속성을 기록하고 있는 변수라는 IT용어로, OS의 셸 등에 설정되어 있다. 변수의 이름과 의미는 미리 정해져 있기 때문에 환경변수를 읽으면 시스템의 설정을 어느 정도 알 수 있다. 사용자가 의도적으로 변환할 수 있는 환경변수도 많으며, 특히 웹 브라우저에서는 자신의 정체를 숨길 목적으로 브라우저 등의 변수를 변환하는 경우도 있다. 일단 접속해봅시다. ------- 사용자의 쉘환경변수들은 그 설정값에 따라 때로는 보안상의 문제점을 야기시키기도 한다. 현재의 bash 쉘환경변수 설정을 살펴보고 보안상 문제가 있는 부분을 바로 잡으시오. 단, 이문제에서는 현재 접속되어 있는 쉘에 ..
Major Study./System hacking 2010.11.22
1
더보기