시스템 로그 중 secure로그나 auth.log로그에는 로그인 성공, 실패 내역이 기록된다. 사전식 대입공격이 발생하면 시스템에 다량의 로그인 실패가 발생되기 때문에 공격을 시도한 내역에 대해 확인이 가능하다. 실제로 사전식 대입 공격으로 침해가 발생되었던 시스템의 로그를 함께 살펴보자.
사전식 대입 공격으로 침해가 발생되었고, 해당 로그가 secure로그를 통해 확인 되었다. 로그를 살펴보면 특정 IP(123.xxx.xxx.68)에서 tty타입이 SSH(SSH접속 시도)로 인증이 실패되었다. 인증을 시도한 사용자는 root였다. 해당 IP에서 몇차례의 인증 실패 후 굵게 표시된 부분을 보면 ‘Accepted password for root’ 구문이 로그에 기록된 것을 확인 할 수 있다. 해당 구문이 root유저의 패스워드 인증이 성공되었다는 로그다. 공격자는 사전식 대입 공격을 통해 여러 번의 패스워드 대입 시도를 통해 root계정으로 로그인이 성공했다. 참고로 사전식 대입 공격 시 정해진 사전파일의 모든 계정정보를 대입하고 프로그램이 종료되기 때문에 아래 로그와 같이 인증이 성공한 후에도 인증 실패된 로그가 계속 남아 있다.
| XXX XX XX:XX:25 [HOSTNAME] sshd[13019]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.xxx.xxx.68 user=root XXX XX XX:XX:28 [HOSTNAME] sshd[13019]: Failed password for root from 123.xxx.xxx.68 port 47935 ssh2 XXX XX XX:XX:28 [HOSTNAME] sshd[13020]: Received disconnect from 123.xxx.xxx.68: 11: Bye Bye XXX XX XX:XX:30 [HOSTNAME] sshd[13021]: Accepted password for root from 123.xxx.xxx.68 port 48306 ssh2 XXX XX XX:XX:30 [HOSTNAME] sshd[13021]: pam_unix(sshd:session): session opened for user root by (uid=0) XXX XX XX:XX:37 [HOSTNAME] sshd[13051]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.xxx.xxx.68 user=root XXX XX XX:XX:40 [HOSTNAME] sshd[13051]: Failed password for root from 123.xxx.xxx.68 port 48985 ssh2 XXX XX XX:XX:40 [HOSTNAME] sshd[13052]: Received disconnect from 123.xxx.xxx.68: 11: Bye Bye |
다음은 우분투에 기록된 SSH로그인 로그다. 동일하게 인증을 시도한 계정과 원격 IP, 인증 성공 여부를 확인 할 수 있다.
| May 20 20:03:58 ubuntu sshd[6439]: Accepted password for root from 192.168.68.1 port 2763 ssh2 May 20 20:03:58 ubuntu sshd[6439]: pam_unix(sshd:session): session opened for user root by (uid=0) May 20 20:04:05 ubuntu sshd[6439]: pam_unix(sshd:session): session closed for user root May 20 20:05:55 ubuntu su[6529]: Successful su for sectest by root May 20 20:05:55 ubuntu su[6529]: + /dev/pts/0 root:sectest May 20 20:05:55 ubuntu su[6529]: pam_unix(su:session): session opened for user sectest by root(uid=0) May 20 20:07:47 ubuntu su[6529]: pam_unix(su:session): session closed for user sectest May 20 20:09:01 ubuntu CRON[6616]: pam_unix(cron:session): session opened for user root by (uid=0) May 20 20:09:01 ubuntu CRON[6616]: pam_unix(cron:session): session closed for user root |
운영체제에서 남기는 시스템 로그 중 로그인 내역과 로그인 시도가 실패 했을 때, 성공했을 때 로그 기록을 예제로 살펴 보았다.
로그 종류 및 설명은 다음을 참고 하기 바란다.
| 경로 | 설명 | |
| /var/log | btmp/loginlog/failedlogin | 로그인 실패에 대한 기록 |
| wtmp | 사용자들의 로그인 로그아웃 정보 누적 기록 | |
| secure | 운영체제 및 응용프로그램의 주요 동작 상태 | |
| message | su, 특정 데몬 및 부팅 시 발생된 에러 기록 | |
| lastlog | 모든 사용자에 대한 접속 정보 | |
| /var/log/httpd | access_log | 접속 요청 및 시도에 대한 로그(web) |
| error_log | 접속 요청 및 에러에 대한 로그(web) | |
| /var/run | utmp | 현재 로그인한 사용자들에 대한 상태를 기록 |