CERT를 위한 리눅스/유닉스 로그 파일 설명

🤔 Question

👉 CERT(Security Incident Response Team)가 침해사고를 분석할 때 가장 먼저 확인하는 것은 네트워크 장비가 아니라 바로 리눅스·유닉스 서버의 로그 파일입니다. 공격자의 모든 흔적은 로그에 남기 때문에, 어떤 로그를 어떻게 해석하느냐가 사고 대응의 성패를 좌우합니다.

 

🎯 messages 로그

👉 /var/log/messages는 시스템 전반에서 발생하는 이벤트를 기록합니다. 커널, 네트워크, 서비스 오류, 하드웨어 문제 등이 모두 이 파일에 남기 때문에 침해사고의 시작 시점을 추적할 때 가장 먼저 확인해야 하는 로그입니다.

 

🎯 secure 로그

👉 /var/log/secure에는 SSH, sudo, su, 인증 실패와 성공 기록이 저장됩니다. 외부 공격자가 어떤 IP로 로그인 시도를 했는지, 계정 탈취가 발생했는지를 확인하는 핵심 로그입니다.

 

🎯 btmp / wtmp 로그

👉 /var/log/btmp는 로그인 실패 기록을 저장하고, /var/log/wtmp는 로그인과 로그아웃 기록을 저장합니다. 무차별 대입 공격이나 침입자의 접속 시간대를 추적할 때 가장 중요한 로그입니다.

 

🎯 bash_history

👉 각 사용자 홈 디렉터리의 .bash_history 파일에는 사용자가 입력한 명령이 기록됩니다. 공격자가 웹쉘을 실행하거나 악성 파일을 다운로드한 흔적을 확인하는 데 매우 중요합니다.

 

☔ 정리

👉 CERT 관점에서 리눅스 로그 분석은 공격자의 발자국을 시간 순서대로 재구성하는 작업입니다. messages, secure, btmp, wtmp, bash_history를 종합적으로 분석하면 침입 경로와 공격 기법을 상당 부분 복원할 수 있습니다.

 

 

If I was of any help to you, please buy me coffee 😿😢😥

If you have any questions, please leave them in the comments

Buy me a coffee

▶ Youtube Sub

🧭 References

[1] reference : https://doctorson0309.tistory.com/

[2] Ads : https://play.google.com/store/apps/details?id=io.cordova.seoulfilter