① 현재 서버에서 사용하지 않고, 보안상 취약점이 있는 데몬에 대해 서비
스를 중지한다.
② TCP Wrapper와 ipchains를 이용한다. 커널 2.4에서는 iptables를 이용
해 각 서비스에 대해서 접속을 허락하거나, 제한한다.
③ 섀도우 패스워드를 반드시 이용한다.
④ su 권한의 사용을 특정 사용자만 가능하도록 정의한다.
⑤ 원격에서 루트 권한으로 접속할 수 없도록 한다.
⑥ 지속적으로 패치한다.

echo 1> /proc/sys/net/ipv4/icmp_echo_ignore_all

다시 응답하게 하려면 다음과 같이 실행하면 된다.

echo 0> /proc/sys/net/ipv4/icmp_echo_ignore_all

보통 백도어 파일은 rm 명령으로도 삭제되지 않는다. 속성이 있을 경우 다
음과 같이 삭제 한다.

# lsattr /usr/sbin/in.fingerd
lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
—–a– /usr/sbin/in.fingerd
==> a 속성이 있음을 확인

chattr -a /usr/sbin/in.fingerd
chattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
==> -a로 속성을 해제

# lsattr /usr/sbin/in.fingerd
lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
——– /usr/sbin/in.fingerd
==>해제

lpd는 내부와 원격 프린트 작업을 수행하는 BSD 라인 프린터 데몬이다.
lpd 데몬의 접근 권한을 가지고 있는 내부 시스템이나 원격 시스템의 사용
자가 특별히 변형된 불완전한 프린트작업을 요청하고 이어서 프린터 큐의
디스플레이를 요청하게 되면 해당 시스템에 버퍼 오버플로우를 일으킬 수
있다. 결국 관리자 권한으로 내부 시스템에 공격 코드를 실행시킬 수 있
게 된다. 따라서 패치를 해주거나 서비스를 하지 않는다면 데몬을 중지하
는 것이 좋다.

BIND 4.x, 8.x에서 문제가 검출되었다. BIND 8 버전에서는 트랜잭션 시그
너쳐(TSIG) 핸들링 코드에 버퍼오버플로우 취약점을 포함하고 있다.
유효한 키를 포함하지 않는 TSIG를 발견하는 경우 BIND 8 버전에서는 에러
응답을 보내기 위한 코드를 실행하게 되며, 이때 발생하는 변수 초기화 방
식의 차이에 의해 해당 취약점이 발생하게 된다. DNS 시스템에 대한 요청
접근만으로 해당 취약점을 발생시킬 수 있으므로 이로 인한 위험성은 크
게 된다.
BIND 4 버전에서는 nslookupComplain( ) 내부에 있는 문자 배열(syslog
를 위한 에러 메시지 작성 버퍼)에 대해 버퍼 오버플로우 취약점을 포함하
고 있다. 특수한 포맷 형태를 가진 쿼리를 전송함으로써 해당 취약점을 발
생시킨다.
또한 nslookupComplain( ) 내부에 있는 문자 배열(syslog를 위한 에러 메
시지 작성 버퍼)에 대해 입력 검증(input validation) 취약점을 포함하고
있다. 이것은 특수한 포맷 형태를 가진 쿼리를 전송함으로써 입력 검증 취
약점을 발생시킨다.
BIND 4,8 버전에서는 해당 서버가 쿼리를 처리하는 동안 정보가 누출
(information leak)될 수 있는 취약점을 포함하고 있다. 특수한 포맷 형태
를 가진 쿼리 전송을 통해 공격자가 프로그램 스택에 접근할 수 있게 함으
로써 해당 취약점을 발생시킨다.
해결책은 BIND 버전은 8.2.3 이상이나 9.1버전으로 업그레이드하는 것이
다. 이것은 해결책이 아니라 시스템 관리자가 반드시 해야 할 일이다.

—————————
linux@work에서 인용