엔시스의 정보보호(보안) 따라잡기

이미 고객은 몇차례 침해 사고를 당한 적이 있어 패스워드 만큼은 보기 드물게 강력한 패스워드를 만들어 사용하고 있었다.

일단 순차적을 살펴 보기로 하자..

# uptime
 14:10:44 up  1:09,  1 user,  load average: 0.00, 0.00, 0.00

# uname -a
Linux  2.6.9-42.0.10.ELsmp #1 SMP Tue Feb 27 10:11:19 EST 2007 i686 i686 i386 GNU/Linux

]# df -k
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
                      68507184  14648208  50379016  23% /
/dev/sda1               101086     19568     76299  21% /boot
none                    517300         0    517300   0% /dev/shm

시간을 조사하고, 리눅스 커널 버전과 디스크 용량과 파티션 정보를 알아 보았다.

# ps -aux|more
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  2340  552 ?        S    13:01   0:00 init [3]
root         2  0.0  0.0     0    0 ?        S    13:01   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SN   13:01   0:00 [ksoftirqd/0]
root         4  0.0  0.0     0    0 ?        S    13:01   0:00 [migration/1]
root         5  0.0  0.0     0    0 ?        SN   13:01   0:00 [ksoftirqd/1]
root         6  0.0  0.0     0    0 ?        S<   13:01   0:00 [events/0]
root         7  0.0  0.0     0    0 ?        S<   13:01   0:00 [events/1]
root         8  0.0  0.0     0    0 ?        S<   13:01   0:00 [khelper]
root         9  0.0  0.0     0    0 ?        S<   13:01   0:00 [kacpid]

프로세스를 점검해 보았으나 특이 사항을 찾을 수 없었다. 그 다음 가장 간단하면서도 기초적인 상황을 볼수 있는 네트워크 점검이다...만약 어떤 형태로든 침해사고를 당했다면 네트워크 세션 연결과 포트가 열려 있을 것이다.

# netstat -anp|more

211.xxx.xxx.20:32780        203.153.xxx.101:6667         ESTABLISHED 4445/httpd -DSSL

오호..너 지금 딱걸렸어...http 데몬이 의심스러웠다. 이건 왠지 직감,..우선 찍어 놓고..
다음은 혹시 스니핑을 당하고 있지 않은가 해서 스니핑 유무를 살펴 보았다..

]# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:A0:D1:E3:02:32
          inet addr:211.xxx.xxx.20  Bcast:211.xxx.xxx.31  Mask:255.255.255.224
          inet6 addr: fe80::2a0:d1ff:fee3:232/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:55249 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65551 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:12122122 (11.5 MiB)  TX bytes:73491573 (70.0 MiB)
          Base address:0xcf00 Memory:fcde0000-fce00000

다행히 스니핑 당하고 있지는 않았다,..스니핑을 당하면 해당 네트워크는 상당한 피해를 초래하게 된다.

httpd     4437 nobody   22u  IPv4   7637       TCP *:80 (LISTEN)
httpd     4445 nobody    3u  IPv4   9409       TCP *:1988 (LISTEN)
httpd     4445 nobody    7u  IPv4  10783       TCP 211.xxx.xxx.20:32780->203.153.xx.101:6667 (ESTABLISHED)
httpd     4446 nobody   22u  IPv4   7637       TCP *:80 (LISTEN)

그 가운데 아까 점찍어 둔 놈을 lsof 명령어와 옵션으로 해당 파일과 포트를 어떻게 사용하고 있는지를 모았는데 httpd 데몬을 가장하고 있었다..

]# lsof -i:32780
COMMAND  PID   USER   FD   TYPE DEVICE SIZE NODE NAME
httpd   4445 nobody    7u  IPv4  10783       TCP finebill.co.kr:32780->ip-101-99-net.express.net.id:ircd (ESTABLISHED)

이 놈이 바로 httpd 데몬을 가장하여 외부에 있는 ircd 데몬과 연결이 되어 irc 채팅 서버로 뚫린 모양이다.

========================================================================================
IP INFORMATION SEARCH : 203.153.xx.xxx
국가 : Indonesia  
ISP : N2C-IFS4
기관명 : Infrastruktur N2C
주소 : PT. NettoCyber Indonesia
IP구간 : 203.153.99.0 - 203.153.99.255
 
inetnum 203.153.99.0 - 203.153.99.255
netname N2C-IFS4
country ID
descr Infrastruktur N2C
descr Jakarta
descr Indonesia
admin-c AD142-AP
tech-c GB82-AP
status ASSIGNED NON-PORTABLE
changed hostmaster@net2cyber.net 20061214
mnt-by MAINT-ID-EXPRESSNET
source APNIC
 
person Aris Dharmawan
nic-hdl AD142-AP
e-mail arisdh@net2cyber.net
address PT. NettoCyber Indonesia
address Menara Rajawali Lt 12
address Mega Kuningan Lot 5.1
address Jakarta 12950
phone +62-21-5761234
fax-no +62-21-5762345
country ID
changed novan@xl.co.id 20040915
mnt-by MAINT-ID-XLNET-N2C
source APNIC
 
person Gede B. Widagdo
nic-hdl GB82-AP
e-mail gede@velo.net.id
address PT. NettoCyber Indonesia
address Menara Rajawali Lt 12
address Mega Kuningan Lot 5.1
address Jakarta 12950
phone +62-21-5761234
fax-no +62-21-5762345
country ID
changed gede@velo.net.id 20070912
mnt-by MAINT-ID-EXPRESSNET
source APNIC
 
그래서 IP 조사결과 인도네시아로 나왔다., 실제 인도네시아 인지 아니면 인도네시아 서버도 뚫린건지 잘 모르겠지만 아무튼 그랬다.

[root@ tmp]# ls -al
total 248
drwxrwxrwx   5 root   root   40960 Mar 28 11:44 .
drwxr-xr-x  24 root   root    4096 Mar 27 13:01 ..
drwxr-xr-x   2 nobody nobody  4096 Mar 27 15:22 .c
-rw-r--r--   1 nobody nobody     0 Mar 27 15:21 cmdtemp
drwxrwxrwt   2 root   root    4096 Mar 27 13:01 .font-unix
drwxrwxrwt   2 root   root    4096 Mar 27 13:01 .ICE-unix
srwxrwxrwx   1 mysql  mysql      0 Mar 27 13:01 mysql.sock
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.1
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.2
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.3
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.4
-rw-------   1 nobody nobody 38912 Mar 20 17:09 php2jPgvv
-rw-r--r--   1 nobody nobody 29584 Mar 18 15:52 sess_7330089add1ed9e64f84ef136f02b4ef
-rw-r--r--   1 nobody nobody 29582 Mar 19 02:40 sess_7WR0089add1ed9e64f84ef136f02b4ef
[root@ tmp]#

그리고 나서 발견된 tmp 디렉토리의 수 많은 파일등,...일일이 확인해 보니 아주 봇 들이 난리도 아니었다.  자세한 것은 추후 또 살펴 보기로 하고 일단 해당 봇넷 파일 삭제와 퍼미션 조정들..그리고 방화벽 필터링을 통한 포트 제어 등으로 모니터링 후에 다시 동일한 현상이 일어나면 연락 달라고 했다.  한가지 아쉬운 점은 늘 그렇지만 지금 사용중이 서버라서 함부로 다룰수 없다는 것이다. 그렇다고 무슨 수사기관도 아니고 그럴만한 권한을 위임 받은 것도 아니기 때문에 ..여러가지 대처 방안과 요령을 말해 주고 끊었다.

억대 연봉을 받으려면?

며칠전 재미난 기사가 하나 났다. 직장인이라면 누구나 부러워할 억대 연봉에 대한 분석한 기사가 났기 때문이다.  혹시 기사를 읽지 못한 분은 아래 링크를 참조해 보기 바란다.

직장인의 꿈 ‘억대 연봉자’ 살펴보니

간단하게 살펴보면 가장 많이 근무하는 직종은 금융, 전기,전자,반도체 이며 하는 업무는 경영, 기획, 전략이다..또한 평균나이는 45세 정도이며 학력은 대졸이 65% 정도 차지 하고 있다.

그러면 억대 연봉자가 되기 위한 구성 요건중에 가장 중요한 3가지를 지적한다면 외국어,.전문성, 인맥 3박자가 고루 갖추어져야 한다고 억대 연봉자들은 말한다.

그럼 이제 나 자신을 한번 살펴보자., 억대 연봉을 쫓아 갈수 있는지를...

직종은 IT,
하지만 최근에 재테크에 관심이 있어 공부를 하고 있어 금융에 대한 지식을 쌓아 가고 있다. 앞으로 부자는 금융지식과 비례 라 것이다. 충분히 고려 할 사항이다.

업무는 경영,기획,전략은 아니지만 늘 부전공으로 삼고 열심히 갈고 닦고 있다. 그건 피터드러커에 관심이 많고, 늘 새로운 아이디어나 방안과 기획을 만들고 있다., 단지 물고기가 물을 만나지 못함이다.

나이는 아직까지 위 조건중에 가장 좋은 조건중에 하나이다. 그건 아직 기회가 많이 남아 있다는 사실이다.  시간을 황금 같이 보아 충분히 조건이 되는 시간까지 준비에 준비 또 준비를 하자.  젊다는 것은 좋지만 아래를 보면 많은 것이요..위를 보니 적은 것이다. 아직은 젊다고 생각하자. 학력은 대졸이 60% 정도인데 아마도 열심히 일하느라 기회를 놓친 모양이다.,.아마 억대 연봉자들이니까 먹고 사는거 걱정 없으면 분명히 석,박사에 도전 할 것이다. 그럼 위 퍼센티지는 올라 갈 것이다. 나는 27% 안에 들어가니까 조금 더 노력해 보자. 가능하면 자꾸 편차를 늘여야 억대 연봉에 가까이 갈수 있을 것이다.

다음은 억대 연봉자들이 가장 중요하게 여기는 3가지에 대하여 살펴 보자..

외국어 - 이 놈의 외국어는 늘 말썽이다. 맨날해도 늘지 않는 외국어 ..아마 다 같은 고민일 것이다. 당장 또 어떤 방법을 강구해 보아야 겠다. 하지만 대학원에 다니면서 외국 논문을 쪼메 보았더니 그나마 영문으로 된 웹싸이트에서 무슨 소리 하는지 정도는 아니까 다행이다. 단지 꿀먹은 벙어리가 되지 말아야 겠다..영어 할줄 아는 애인(?)이 있으면 좋으련만. 그나마 일본어 조금 했던 것이 이제는 까막눈은 아니고 벙어리가 되었으니..자꾸 써야 하는데...

전문성- 지금 하고 있는 업무에 대한 전문성을 더욱 키워보자. 지금 시대는 당연히 전문성이 있어야 한다. 제너럴리스트보다는 스페셜리스트가 되어야 한다. 정보보호와 보안에 대하여 연구 또는 공부하고 있고, 업무를 하고 있지만 자기만의 필살기가 아직 부족하다. 전쟁에 나가 전쟁을 하는데 자기만의 병기가 있어야 한다. 그래야 적장의 목을 베어 올수 있다. 안그러면 전쟁에서 내 자신의 목을 내 주어야 한다. 지금은 이렇게 정글의 법칙이 적용되는 시대에 살고 있다. 차츰 전문성을 키워 가고 있으니까 조금만 더 노력하자. 카테고리 킬러가 되자.

어떤 사람이 그런 말을 한적이 있다. 본인은 외국어 (영어)를 공부하지 않는다. 왜냐하면 영어를 잘 하는 사람을 데리고 가면 되니까. 자기는 그시간에 전문성을 더 키운다고 한다.

인맥- 사회 생활은 혼자서 하는게 아니기 때문에 늘 조력자와 협력자가 필요하게 된다. 자기 혼자 모든 것을 짐어 지고 갈순 없는 것이다. 학연,혈연,지연에 얽혀 망국명이라고 까지 하고 있지만 아직도 사람은 사회적동물이라고 말한 철학자의 말처럼 인맥을 중요시 해야 한다. 절대 남을 무시해서도 깔 보아서도 안된다. 그 사람이 언제 어떻게 내 고객이 되고 그 사람 주머니에서 돈을 지불하여 나를 먹여 살릴지 모르기 때문이다. 따라서 인맥관계는 중요한 것이며 철저한 자기만의 인맥 노하루를 가져야 한다.

마치며
누구나 부러워하는 억대 연봉이니 만큼 AS-IS와 TO-BE 를 살펴 보았다. 아니 아직 TO-BE는 나와야 겠지만 현재 내 모습을 대략 살펴보았다. 몇가지는 부족하고 몇가지는 그러저럭 하겠지만 부정적인 것 보다는 긍정적으로 할수 있다는 마음을 다시 한번 되뇌어 보자, 그리고 더 노력하자.  할수있다,할수 있다. 할수 있다.

  "He can do, She can do, Why not me ? "