%20Linux%20%EC%84%9C%EB%B2%84%EB%A5%BC%20%EB%8B%A4%EC%8B%9C%20%EC%8B%9C%EC%9E%91%ED%95%A0%20%EC%88%98%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
최근에 발생한 예기치 않은 재시작을 진단하려고 하는데 이것이 가능한지 궁금합니다.
답변1
일반적으로 말하면 그렇습니다. 루트 액세스로 원격 코드를 실행하게 하는 결함이 있는 경우 그렇게 할 수 있습니다.
실제로 특정 결함으로 인해 원격 코드 실행이 발생하지 않더라도 여전히 커널 패닉 및 서버 재부팅이 발생할 수 있습니다.
그러나 질문을 표현한 방식을 고려할 때 이러한 종류의 공격을 탐지하기 위해 시스템에 대한 사후 분석을 수행하는 데 필요한 지식이 있는지 의심됩니다. 시스템을 정말로 검사하려면 보안 전문가를 고용하는 것이 좋습니다.
답변2
Linux 서버를 다시 시작하려면 루트 액세스 권한이 필요합니다. 루트 계정이 손상되었고 SSH가 활성화된 경우 누군가가 원격으로 서버를 재부팅하는 것이 전적으로 가능합니다. 이 질문의 품질로 판단할 때, 이것이 생산 시스템에 영향을 미치는 경우 폭로 경험이 있는 컨설턴트를 고용할 것을 강력히 권장합니다.
답변3
예, 하지만 아직은 그런 점을 고려하지 않는 것이 좋습니다.
대부분의 공격자는 다음과 같은 이유로 서버에 침입합니다.
- DOS 공격이나 손상된 다른 서버에 대한 C&C를 수행합니다.
- 저작권 침해 콘텐츠를 호스팅하세요.
- 웹사이트를 훼손하여 정치적 또는 사회적 발언을 하는 행위.
- 원격 서버와 클라이언트에 대한 추가 손상을 수행합니다.
대부분의 공격자가 서버를 재부팅하기 위해 서버에 침입하는 것은 실질적인 이점이 없습니다. 가능하기는 하지만 대부분의 침입자의 동기를 고려하면 더 그렇습니다.~할 것 같은문제는 다른 것입니다. 호스팅 제공업체의 유지 관리, 가동 중단 또는 최악의 경우 누군가 실수로 시스템을 다시 시작했지만 '조심'하지 않는 경우입니다. :)
답변4
물론 가능합니다. 의심스러운 로그를 확인하려면 를 살펴보세요 /var/log/auth.log.