테스트는 아파치에서 함. curl -I http://localhostcurl -D- -o /dev/null http://localhost 를 입력하면 현재 웹서버의 헤더 정보를 볼수 있다. 그 때 server 항목에서 apache버전명이 노출이 된다. apache 버전이 노출이 되면 해당 버전의 exploit을 이용하여 침투,침해사고가 일어날 수 있다. 그것을 방지하기 위해 httpd.conf 에서 아래 내용을 추가하면 된다. 1. # Include conf/crs/modsecurity_crs_10_setup.conf Include conf/crs/modsecurity_crs_10_setup.confSecRuleEngine onServerTokens MinimalSecServerSignature "xxx..

현장 보존이 가장중요 /tmp /var/tmp 등의 임시 디렉토리에 처음보는, 의심되는 파일이 있는지 확인이 부분을 확인해야 하는 이유는 /tmp 디렉토리에서 루트권한외에 일반계정으로 파일 실행이 가능함.따라서 루트 권한 탈취 프로그램이 /tmp 디렉토리에서 시도가 많다고 함. /dev 디렉토리하위에 일반파일이 있는지 확인. /dev디렉토리에는 일반파일이 있으면 안됨 ex) ssh 파일 같은거find /dev -type f --> /dev 디렉토리 하위에 일반파일이 있는지 찾음 ps -auxf 명령어로 의심되는 프로세스트리를 확인. 이과정에서 침투경로나 파일이 있는 위치등을 확인 할 수도 있다. netstat -an | grep LISTEN 으로 현재 listen 상태인 모든 포트를 확인 stat 명령어..