해킹이 아닌 이유 2가지..

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

로그분석을 할 때는 제일 먼저 시스템의 정상적인 로그인지 여부를 확인해 보셔야 합니다. 아래와 같은 경우 다음의 두가지를 유념해서 보시면 해킹 여부를 아실 수 있습니다.

jun 12 04:05:07 edu cups: cupsd shutdown succeeded
jun 12 04:05:09 edu cups: cupsd startup succeeded

먼저 로그 발생시각입니다. 오전 4시 5분이면,  /etc/crontab에 설정되어 있는 cron.daily의 시각과 매우 유사합니다. 이를 통해 /etc/cron.daily/에 있는 스크립트에서 실행되고 있는 것이라고 추측할 수 있습니다.

두번째는 실행 시각입니다. 위의 로그를 보면 실행 시각은 약 2초정도 되어 해킹이나 공격이 아닐 가능성이 높습니다. 로그를 보면 cupsd 라는 데몬이 작동한 것인데, /etc/cron.daily에서 관련 스크립트를 보시고 불필요한 스크립트라면 삭제하시는 것이 좋습니다. http://www.cups.org/ 를 보시면 cups에 대한 설명이 나오는데, 유닉스 기반하에서의 printing system인듯 하니 삭제하셔도 무방할 듯 합니다.

감사합니다.