installation completed to /usr/local/maldetect config file: /usr/local/maldetect/conf.maldet exec file: /usr/local/maldetect/maldet exec link: /usr/local/sbin/maldet exec link: /usr/local/sbin/lmd cron.daily: /etc/cron.daily/maldet maldet 검색 maldet -a /var/www clamav 백신 설치 apt install clamav 수동업데이트 systemctl stop clamav-freshclam freshclam systemctl start clamav-freshclam systemctl status clamav-freshclam 감염파일 이동할 디렉토리 생성 임의의 이름으로 생성하고 기존 디렉토리로 사용해도 된다. mkdir virus 검사 실행 4-1 전제 검사 $ clamscan -r / 4-2 디텍토리 및 파일 지정 검사 $ clamscan -r /디렉토리 및 파일 경로 ex) $ clamscan -r /home clamscan -r /var/www 4-3 감염파일 이동 $ clamscan -r /home --move=/virus 4-4 감염파일 삭제(※주의※) $ clamscan -r /home --remove email_alert=1 (0이면 통보하지 않고, 1인 경우 메일 통보) email_addr=”user@yourdomain.com, user2@yourdomain.com” email_ignore_clean="0" (Maldet가 멀웨러를 감지하고 깨끗하게 치료했다면 굳이 메일 경고하지 않는다는 옵션 선택할지를 결정합니다. 1값은 멀웨어가 치료되었다면 굳이 메일 경고를 하지 않습니다.) quarantine_hits="1" (0이라면 감염되었다는 경고만 하고 파일은 그대로 유지합니다. 1 값을 주면 특정 장소로 이동 조치하고 경고) quarantine_clean="1" (감염된 멀웨어를 치료할지 여부를 선택합니다. 치료한다면 1값을 입력) fail2ban apt install fail2ban fail2ban-client --version fail2ban-client status systemctl status fail2ban AppArmor OS가 apparmor를 지원하는지 확인 cat /sys/module/apparmor/parameters/enabled 상태확인 systemctl status apparmor Nikto apt-get install nikto chkrootkit apt-get install chkrootkit chkrootkit -V mod 확인 curl 210.175.73.106//index.php?exec=/bin/bash clamscan/fail2ban/말닥설치 modsecurity설치 iptable 설정 계정생성 및 sudo su 활성화 https://uroa.tistory.com/100 root 계정으로 로그인 사용자 추가 adduser 아이디 root 권한사용설정 visudo 명령어 실행(etc/sudoers 수정명령어) Defaults rootpw root ALL=(ALL) ALL 아래에 아이디 ALL=(ALL) ALL 추가 ctrl+o 저장, ctrl+x 종료 ROOT 권한 프로세스 조작 방어 방법 1. 권한 상승 방지 - 최소 권한 원칙 적용: sudo 사용자를 최소화하고, 필요 없는 사용자는 제거. sudo deluser sudo - sudoers 파일 보호: /etc/sudoers 파일을 확인하고 권한을 제한. sudo chmod 440 /etc/sudoers - SETUID 비활성화: 권한 상승에 악용될 수 있는 SETUID 비활성화. find / -perm -4000 -type f -exec chmod u-s {} \; - 취약점 패치: 최신 커널 및 소프트웨어 업데이트 유지. sudo apt update && sudo apt upgrade -y