/var/log/wtmp
- 계정의 로그인 및 로그아웃 정보 저장
- 로그인, 로그아웃, shutdown, booting 정보 등
- 바이너리 파일
- last 명령으로 확인
/var/run/utmp
- 현재 로그인한 계정의 상태 정보를 저장
- 로그인 계정이름, 터미널, 원격 로그인 주소, 로그인 시간 등
- 바이너리 파일
- w, who... 등의 명령으로 확인
/var/log/lastlog
- 계정의 최근 로그인 정보 저장
- 계정 이름, 터미널, 마지막 로그인 시간
- 바이너리 파일
- lastlog 명령으로 확인
/var/log/btmp
- 실패한 로그인 정보 저장
- 바이너리 파일
- lastb명령으로 확인
/var/log/secure
- Telnet, SSH, FTP 등 원격 로그인의 인증 정보 저장
- 텍스트 파일
- vim, tail/head, cat 등으로 확인
/var/log/sulog
- su 명령의 사용 내역 저장
- 공격자가 일반 계정으로 접근한 후 su 명령으로 관리자의 권한을 악용할 수 있음
- 불법적인 su 명령 사용을 주기적으로 점검해야 함.
- 환경 설정을 미리 해야 로그가 저장됨
- 텍스트 파일
- su:session 으로 필터링해서 확인
sulog 환경설정 방법 /etc/login.defs 에 SULOG_FILE /var/log/sulog 구문 추가 /etc/rsyslog.conf 에 authpriv.info /var/log/sulog 구문 추가 |
/var/log/crom
- crond 서비스 동작에서 예약 작업의 동작 상태 정보 확인
- 텍스트 파일
- vim, tail/head, cat 등으로 확인
/var/log/messages
- 시스템 동작에 대한 전반적인 모든 이벤트가 저장됨
- 로그인, 장치 동작, 시스템 설정 오류, 파일 시스템, 네트워크 연결 정보 등이 저장됨
- 텍스트 파일
- 필터링을 하거나 실시간 로그 확인 방법을 많이 사용함.
- cat /var/log/messages | grep [패턴]
- tail -f /var/log/messages
~/.bash_history
- 각 사용자별로 수행한 명령을 기록하는 파일
- 쉘에 따라 .sh_history, .history, .bash_history 등의 파일로 기록
- 해킹 피해 시스템 분석 시 불법 사용자 계정이나 root 계정의 history 파일을 분석하면 공격자가 시스템에 접근한 후 수행한 명령어들을 확인할 수 있음.
- 텍스트 파일
- vim, tail/head, cat 등으로 확인
/var/log/httpd/access_log
/var/log/httpd/error_log
- 웹 서버 접속, 오류에 대한 기록 확인
- 웹 서버에서 취약한 CGI 프로그램에 공격 수행 시 그에 대한 공격 로그도 이들 로그파일에 기록됨
- 텍스트 파일
- vim, tail/head, cat 등으로 확인
'모의 해킹' 카테고리의 다른 글
[웹 해킹] 2. DVWA 보안 난이도 조정하기 (0) | 2024.06.26 |
---|---|
[웹 해킹] 1. 웹 해킹 연습을 위한 DVWA 설치하기 (0) | 2024.06.24 |
패킷 스니핑 세 번째_ARP Spooping 공격 (0) | 2024.05.30 |
패킷 스니핑 두 번째 - dsniff 사용하기 (0) | 2024.05.29 |
패킷 스니핑 첫 번째 - TCPDump 사용하기 (0) | 2024.05.28 |