해킹의 가능성이 있습니다..

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

로그에 남지 않는다면 여러가지 가능성이 있을 수 있습니다.
일단은
(1) /var/log 파티션의 full 여부(df -h)
(2) 퍼미션에도 문제가 없는지
(3) 혹 syslogd가 down되거나 오작동하지는 않는지
    (이는 syslogd 재가동으로 확인)
 확인해 보시기 바랍니다.

만약 위의 경우가 아니라면 해킹 여부를 의심해 보아야 합니다.
먼저 lsattr /var/* 를 실행하여 읽기전용 속성은 되어 있지 않은지 확인해 보시기 바랍니다. 만약, 읽기전용속성이 되어 있다면 해킹후 로그가 남지 않도록 하였을 가능성이 높습니다.   
그리고, chkrootkit을 포함한 여러 보안 프로그램을 활용하여 syslogd등 바이너리 파일의 변조여부를 확인하셔야 합니다.  

따라서 이러한 경우 아래 답변에서도 말씀드린 바와 같이 다음의 절차로 진행하셔야 합니다.

1. 어떠한 취약성을 통해 일반 유저 및 root 권한을 획득하였는가? 확인하여야 합니다.

2. root 권한을  획득하였다면 백도어 또는 루트킷은 설치되어 있지 않은지,
   그렇다면 해당 파일들을 찾아서 모두 삭제하셔야 합니다.

3. 시스템(커널포함)에 대한 패치 및 업데이트를 하여 취약성을 모두 제거하십시오.
    특히 최근에는 커널의 취약성을 이용해 root 권한을 획득하기 때문에
    커널의 업데이트는 중요합니다.

4. 방화벽 및 해당 데몬이 제공하는 설정을 통해 엄격한 접근 통제를 하십시오.
    아울러 쉬운 암호를 사용하는 계정은 없는지 확인하십시오..


원래의 깨끗한 바이너리와 비교하여 변조여부를 확인하신 후 새로운 패키지를 설치하시는 것이 좋습니다.물론 재설치가 간단하고 쉬운 일일 수 있습니다. 그리고 대부분의 문서에서나 대부분의 관리자들은 재설치를 하라고 합니다. 그렇지만 그렇게 되면 또 다시 해킹을 당할 수 있을 것이고, 또 해킹을 당할때마다 재설치를 하여야 할 것입니다. 그보다는 이번 기회에 자신의 취약성은 무엇인지 또 어떻게 대처하여야 하는지 배울 수 있는 기회로 삼는 것이 좋습니다. 

물론 위 과정은 쉽지 않은 절차이지만, 하나씩 순차적으로 따르게 되면 어느새 보안과 가까워진 것을 알 수 있을 것입니다. 

이제 네트워크에 연결된 이상 보안은 결코 남의 이야기가 아닙니다. 따라서 이번 기회를 거울 삼아 보안에 더욱 관심을 갖고 보안에 가까워질 수 있는 관리자가 되시기를 바랍니다.

앞에서 언급한 절차 및 사고예방을 위해  리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/)가 큰 도움이 되실 것으로 믿습니다.

감사합니다.