[Security] TCP Wrappers
[ CnUnix ] in KIDS
글 쓴 이(By): handsome (아픔없는이)
날 짜 (Date): 2000년 6월 14일 수요일 오후 06시 12분 49초
제 목(Title): Hacking당하고 있을 때?
현재 저희 연구소에 DNS Server이자 E-mail Server가 hacking을 당하고 있습니다. 증상을 보면, date명령을 쳐 봤을 때 시간이 멈춰져 있고, (늘 같은 시간이 나옵니다.), 그리고, root에게 돌아오는 전자메일을 보면, spam mail이니까 막으라는 전자메일일 들어 오고 있습니다.
저희 machine은 TCP-Wrapper와 Sendmail의 relayhost방지기능을 이용해서 spam mail server가 되는 것을 막아왔는데, 어떻게 들어 왔는지 궁금합니다.
여하튼, 도움이 될만한 말씀 있으시면 해주십시요. 흑흑흑
[ CnUnix ] in KIDS
글 쓴 이(By): terzeron (microkid)
날 짜 (Date): 2000년 6월 15일 목요일 오전 09시 51분 01초
제 목(Title): Re: Hacking당하고 있을 때?
TCP wrappers라고 해도 그게 제대로 wrapping을 하고 있는지는 꼼꼼하게 점검하지 않으면 안 됩니다. 그 패키지 안에는 설치되어 있는 wrapper가 정상적으로 작동하는지 점검해주는 프로그램들이 있습니다. tcpdtry(이름은 정확하지 않지만)와 tcpdchk같은 프로그램들이 바로 그것인데, 이런 프로그램으로 wrapping에 구멍이 있지 않은가 점검하시는 것이 필요합니다.
특히 TCP wrappers는 /etc/hosts.allow파일을 읽어들여서 구문분석을 하는 기능이 미약한 관계로 IP address 리스트 사이에 주석을 달 거나, comma를 쓴다거나 하는 실수로 wrapping을 제대로 처리 못하는 경우가 종종 발생합니다. 게다가 domain name으로 적어주게 되면 IP로 매핑을 못해서 구멍이 생기는 경우도 있습니다.
그리고 wrapper가 설치되어 있어도, wrapper가 막지 못하는 포트들이 몇 가지 있습니다. 이런 포트들을 통해서 공격을 하게 되면 wrapper가 무용지물이죠.
이것에 대한 해결책으로는 rpcbind(RPC wrapper)를 설치하여 RPC 포트를 막고 nmap 패키지로 열려있는 포트들에 대한 점검을
하는 것입니다.