29일차(3.24) 프록시 서버 버프 스위트 악성코드를 이용한 공격에 대비하기 일반적인 네트워크 공격과 방어책 기본적인 보안 도구들

프록시 서버란?

 

 클라이언트가 자신을 거쳐 다른 네트워크에 접속할 수 있도록 중간에서 대리해주는 서버를 말한다. 서버와 클라이언트 사이에서 대리로 통신을 수행해주는 것을 프록시라고 하고 그 기능을 하는 서버를 프록시 서버라 부르는 것이다. 즉, 프록시 서버는 서버와 클라이언트 사이에서 요청과 응답을 처리해주게 되는 것이다. 

  버프스위트, 파로스, 피들러와 같은 웹 프록시 툴을 사용해본 사람이라면 아마 대부분 웹 요청이나 응답 값을 중간에 가로채기 위해서 사용했을 것이다. 해당 툴에서 사용하는 웹 프록시 서버 주소와 포트 설정을 해주면 브라우저에서 보낸 웹 요청이 프록시 서버를 경유하기 때문에 중간에 패킷을 가로챌 수 있게 되는 것이다. 예를 들어 버프스위트 툴의 경우 프록시 서버 포트로 8080 포트를 사용한다. 그리고 브라우저(클라이언트)에서 해당 주소(localhost)와 8080 포트를 설정해주게 되면 브라우저에서 보내는 패킷은 전부 8080 포트를 경유하게 되기 때문에 원래 서버로 가야 할 패킷을 중간에 가로챌 수 있게 되는 것이다. 

(출처: https://liveyourit.tistory.com/251)

 

 

프록시 서버의 사용 목적(이유)

프록시 서버를 사용하는 목적과 이유에는 여러 가지가 있을 수 있는데 대표적으로 아래와 같은 것들이 있다.

첫 번째는 캐시 데이터를 사용하기 위함이다. 프록시 서버 중 일부는 프로깃 서번에 요청된 내용을 캐시를 사용해 저장해둔다. 그러면 캐시에 저장되어 있는 내용에 대한 재요청은 서버에 따로 접속할 필요가 없이 저장된 내용을 그래도 돌려주면 되기 때문에 전송 시간을 절약할 수 있고 외부 트래픽을 줄임으로써 네트워크 병목 현상도 방지할 수 있다. 

두 번째는 보안 목적이다. 프록시 서버가 중간에 경유되게 되면 IP를 숨기는 것이 가능하기 때문이다. 또한 프록시 서버를 방화벽으로 사용하기도 한다(프록시 방화벽).

세 번째는 접속 우회이다. 간혹 한국에서는 접속이 제한이 되는 사이트가 있다. IP를 검사해 한국에서의 접속임을 감지하기 때문인데 이런 경우 프록시 서버를 사용하면 접속을 다른 나라로 우회할 수 있게 된다. 우회에 사용할 서버 주소와 포트를 구한 후 '인터넷 옵션 > 연결 > LAN 설정 > 프록시 서버' 에서 서버 주소와 포트를 설정해주면 설정해준 서버에서 접속한 것처럼 속일 수 있기 때문에 접속 제한을 우회할 수 있다. 

(출처: https://liveyourit.tistory.com/251)

 

프록시 설정법

프록시 서버의 주소를 입력해 준다.

 

 Wireshark에서처럼 오가는 패킷을 수집한 뒤 패킷에서 패스워드를 알아낼 수도 있지만, LAN에서 Proxy Server 역할을 하는 Burp Suite 도구로 오가는 패킷을 멈춘 뒤 위조해서 타겟으로 들어가 보자. 

 

burpsuite 오픈하는 법

ACCEPT를 해주고 열린 burpsuite

firefox web browser를 열어준다.

EDIT > PREFERENCES

 

로컬호스트(127.0.0.1)로 프록시 서버를 설정해준다. 버프스위트 툴의 경우 프록시 서버의 포트는 8080으로 설정해준다. 

 

Centos로 firefox를 열고

Preferences를 클릭

Proxy 서버의 주소를 써준다. 거쳐가야 되니까.

 

XP도 열어본다. 도구 > 인터넷 옵션 > LAN 설정

  Proxy Server는 Cache Server로도 부르는데 로컬 LAN에서의 모든 호스트들이 웹으로 나가서 이름을 풀어올 때 이들 정보를 가지고 잇는 서버로써 어느 노드가 어느 사이트에 들어가면 사이트_명과 IP_주소 정보를 저장하고 있다가 다른 노드가 해당 사이트를 찾을 때 또 다시 인터넷에서 이름 풀이를 해오지 않고 바로 알려줌으로써 외부 사이트 연결을 빠르게 해주는 기능이다.  <=하지만 보안측면에서 보면 내부 LAN의 모든 호스트들이 웹에 연결된 정보를 가지고 있기 때문에 매우 위험하다. 웹 해킹은 대부분 이 프록시 서버를 통해서 일어난다.  

  만일 BT를 로컬 LAN에서 proxy 서버로 사용한다면 127.0.0.1 대신 BT의 IP 주소를 주어야 하고, 로컬 LAN의 Ubuntu1, CentOS1, CentOS2, 또는 Win7 등의 머신의 웹 브라우저에서 프록시 설정을 이 BT의 IP로 지정해주면 된다. 

 

proxy 탭, intercept is off

firefox http://192.168.100.130/dvwa

 

admin / password 쳐서 접속

 

두 번째 걸로 allow 해주기

아무튼 잘 접속 됐다.

 

이번에는 on

연결이 안된다.

그리고 정보를 가로챘다.

체크해준다.

 

다시 로그인 해주고 개인정보를 확인했다.

  
  Burp Suite 도구를 사용해서 프록시 서버로 설정해주고 타겟과 오가는 패킷을 모아서 로그인 패스워드를 알아낼 수 있고, 오가는 패킷을 멈춰서 데이터를 조작(manuplication, operation =>cheating, swindling)해서 변경한 뒤 타겟으로 보낼 수 있다!!!!!  
~<b>Username:</b>admin<br/>~ 부분에서 admin을 paul로 변경하면 paul 사용자가 없는데도 paul로 로그인 되어서 admin 권한을 가지게 된다. 

 

일단 intercept off를 해서 dvwa에 접속하고 intercept on해서 로그인 한다.

그리고

forward를 눌러 html 창이 나오면 스크롤을 내려서!!! Username admin 항목을 확인한다.

admin을 paul로 바꿀 것이다.

그릐고 꼭 forward 해주기..........!!!!!!!!!! 나같이 바보같이 forward 안하고 다른짓 하지 말길. ㅠㅠㅠㅠㅠㅠㅠ시간 아까워....

이전 캡처가 없는데 username admin에서 paul로 바뀌었다!!

데이터를 위조해서 들어갔다.

~Username:admin
~ 부분에서 admin을 paul로 변경하면 paul 사용자가 없는데도 paul로 로그인 되어서 admin 권한을 가지게 된다. 

 

  Burp Suite 도구를 사용해서 프록시 서버로 설정해주고 타겟과 오가는 패킷을 모아서 로그인 패스워드를 알아낼 수 있고, 오가는 패킷을 멈춰서 데이터를 조작(manuplication, operation =>cheating, swindling)해서 변경한 뒤 타겟으로 보낼 수 있다!!!!!  

 

---

 

시작할 때마다 백업 파일 만들기

 

부팅은 루트가 아닌 센토스로 되므로 루트가 아닌 센토스 su -c 로  /etc/rc.local 파일을 작업해준다.

 

너 실행될 때 홈 밑에 centos1 밑에 bak 쉘로 들어가서 실행해라.

 

#!bin/bash 쉘 스크립트 실행 명령어

set $(date) 데이트 실행 명령어(괄호로 묶으면 변수가 됨)

fname="backup-$2$3-$4.targz"
tar cvfz /home/centos1/bak/$fname /tmp

 

[centos1@localhost ~]$ nano /home/centos1/bak.sh
[centos1@localhost ~]$ ls -l /home/centos1/bak
total 0
[centos1@localhost ~]$ ls -l /home/centos1/bak.sh
-rw-rw-r--. 1 centos1 centos1 91 Mar 26 18:17 /home/centos1/bak.sh

 

chmod +x bak.sh

su -c 'chmod +x /etc/rc.d/rc.local' 이렇게 실행 파일로 만들어준다. 

 

[centos1@localhost ~]$ ls -dl /tmp/
drwxrwxrwt. 23 root root 4096 Mar 26 18:19 /tmp/

 

t 덕분에 누구나 사용할 수 있다. 덧. t를 이용해 해킹도 할 수 있다고 한다. 
그리고 리부팅 해준다.

 

백업이 되었다.

---

  악성코드를 이용한 공격에 대비하기

  악의적인(malicious) 기능을 하도록 짜여 진 소프트웨어를 악성코드(malware)라고 부르는데 여기에는 virus, worm, bot, 그리고 rootkit가 있다. 이들을 알아보고 방어책도 살펴본다.

  Virus
  Virus는 정상적인 파일이나 하드디스크의 부트 섹터(MBR:Master Boot Record)에 자리하면서 시스템을 부팅시키지 못하게 하거나 다른 파일을 감염시키고 증식하는 프로그램이다. 감염원을 숙주(host)라고 하며 감염된 파일은 외부로 데이터를 노출시키기도 한다. 
=>이런 공격을 막으려면 ClamAV 안티바이러스 프로그램, VirusWall(내부 LAN에서 virus가 퍼지지 않게 함) 설정 등을 해주면 된다. 

   Worm과 Trojan Horse
▪ Worm은 Virus와 달리 숙주(host) 없이도 스스로 복제하고 증식해서 주변을 오염시키므로 Virus보다 더 위험하다. 메일이나 웹 사이트에서의 폭발적인 감염은 대부분 이 Worm에 의한 것이다. Worm virus로 부르기도 한다.

▪ Trojan Horses는 내부에 악성코드를 숨겨놓고 정상적인 소프트웨어처럼 위장한 백도어 소프트웨어이다. 해커가 소프트웨어 배포 사이트에 침투해서 배포되는 소프트웨어 안에 트로이 목마를 끼워놓으면 이 프로그램을 다운받는 사용자의 머신이 백도어에 감염되게 된다(<=XSS 유형과 비슷한 공격). 
=>이런 공격을 막으려면 AV(안티 바이러스)로는 막기 힘들고 출처가 불분명한 메일을 열지 않거나, 함부로  프로그램을 다운받지 않으며, 수시로 시스템을 점검(rootkit 점검 등)해서 제거해야 한다. 
=>이런 면에서 형상서버를 구축해서 로컬에서 운영하는 것이 현명한 방법이다.

  Bot와 BotNet    
  Bot는 주로 DDoS에 동원되는 감염된 좀비(zombie) PC들을 말하며, 이런 좀비 Bot들로 구성된 네트워크를 BotNet로 부른다. 이 봇네트는 대부분이 DDoS나 스팸메일 공격을 수행하게 하는데 이용된다.
=>이런 공격을 막으려면 DDoS 공격을 막을 때처럼 Reverse IP Filtering을 사용해서 알 수 없는 IP 주소로 들어오는 패킷을 Linux의 iptables나 라우터의 ACL이나 Ingress 설정 등으로 순식간에 특정 서버 서비스로 집중되는 트래픽 량을 제한해둔다.

  Rootkit 
  Rootkit는 해커가 타겟머신에 침투 한 뒤 나중에 쉽게 들어가서 작업할 수 있도록 백도어 파일 생성, 악성코드의 컴파일 작업, 백도어 파일 숨기기, 침투흔적에 관한 로그파일 삭제와 조정 등의 작업을 해주는 해커 도구를 말한다. 
=>이런 공격을 막으려면 rootkithunter, checkrootkit 등 도구로 시스템을 점검해서 루트킷을 찾아내고 제거해야 한다. 

---

  일반적인 네트워크 공격과 방어책을 다음 표로 정리해 두었다. 
공격형태 설명과 방어책

Eavesdropping
(도청) 해커가 타겟에 취약점이 있는지 탐색하는 Sniffing이나 허락 없이  다른 사람이나 조직의 컴퓨터로 들어가는 Spoofing으로 네트워크 에서의 통신을 도청하는 것을 말한다. 
=>이를 막으려면 강력한 암호화 문으로 통신해야 한다. 

Data Modification
(데이터 변조) 해커가 타겟 네트워크에 침투해서 메일이나 인터넷 구매 시 오가 는 데이터를 프록시 서버 등에서 멈춘 뒤 변조해서 재전송하는 기법이다.
=>이를 막으려면 프록시 관리와 SSL 인증을 통한 통신을 해야 한 다.

Sniffing
(취약점 탐색) 데이터가 충분한 암호화로 보호되어있지 않으면 해커가 외부에서  패킷을 탈취해서 네트워크를 들여다볼 수 있어서 위험하다. 타겟  네트워크의 취약점을 살펴보는 것을 스니핑이라고 한다.
=>이를 막으려면 ping 등 icmp 프로토콜(echo request/reply)을  규제한다.

Spoofing
(IP/MAC 변조) 해커는 자신의 IP/MAC 주소를 타겟 네트워크의 특정 호스트나 게이트웨이의 IP/MAC으로 변경해서 자신이 정당한 클라이언트인  척하면서 주변 호스트들의 정보를 얻어내는 기법이다. 타겟 네트 워크에 침투하는 기법 중 하나이다.
spoofing은 MAC/IP 주소 등으로 타겟자를 속이는 것을 말하고, 
(ping) sweeping은 타겟머신을 샅샅이 조사해서 타겟의 IP 대역  등을 알아내는 것을 말한다.
=>이를 막으려면 호스트들의 IP/MAC 주소를 정적(static)으로 해  두어야 한다.

Password Crack 
(패스워드 크랙) 대부분 네트워크 로그인은 사용자명과 패스워드의 조합(합쳐서  Credential로 부름)으로 이뤄지는데 해커는 여러 가지 기법으로 이  크레덴셜을 크랙한다.
=>이를 막으려면 유효한 사용자 리스트를 저장하고 있는 데이터 베이스 등을 잘 관리하고 관리자 레벨로 권한상승을 못하게 하는  조치가 있어야 한다.

DoS
(Denail of Service) 해커가 타겟의 내부 네트워크를 조작하거나 외부에서 특정 서버  서비스로 집중적인 서비스를 요청해서 타겟 서버의 서비스를 불능 상태로 빠지게 하는 기법이다. 
=>이를 막으려면 포트나 루트 킷 체크 도구를 실행시켜 두어야  한다. 

MitM
(Man in the Middle) 해커가 클라이언트와 서버 사이에 들어가서 서로를 상대방으로 믿게 한 뒤 오가는 패킷을 가로채는 세션 하이재킹의 기법이다.
  =>이를 막으려면 Arp spoofing이나 Session hijacking을 주의해야 한다.

Compromised-key
(취약한 키) SSL을 취약한 키로 만들어 두면 해커는 dump와 같은 도구로도 해 시 키를 쉽게 탈취해서 해시를 여러 방법으로 푼 뒤가 해당 키로  보안 네트워크에 정당하게 들어간다.
=>이를 막으려면 md5보다 SHA512나 RSA 알고리즘으로 강력한 키를 생성해서 사용하는 것이 좋다. 무선에서의 WEP 키의 취약함 을 생각해보면 된다.

Applications
(응용프로그램) 해커는 타겟 서버의 운영체제나 설치된 어플의 취약점이나 잘못 설정된 구성파일의 허점 등을 이용한 공격을 시도한다. MS Word,  Adobe, VNC, ... 등에 취약점이 알려져 있다. 
=>이를 막으려면 운영체제나 어플의 버전이나 패치, 배너 정보  등을 잘 관리해 두어야 하고, 서버에 쓸데없는 어플을 많이 설치하지 말아야 한다. 

OS
(운영체제) 운영체제 자체적인 취약점이 있다. 해커는 이런 운영체제별로 알려진 취약점 정보를 얻어서 침투해 온다.
=>이를 막으려면 패치나 업데이트를 잘 해두어야 한다.

ATP
(Advanced Technology 
Persistence) 해커는 이메일 등을 통해서 타겟 네트워크나 시스템에 악성코드를 심어두거나 강제로 시스템을 암호화해서 데이터를 사용하지  못하게 하는 등의 공격을 수행한다. 장기간에 걸친 탐색을 통해서  타겟 네트워크의 취약점 등을 알아낸 뒤 지속적으로 짧게 공격을  수행하는 것이 특징이다. 
=>이를 막으려면 패치를 적용하거나 망 분리(VLAN)를 통해서 네 트워크를 안전하게 해두고, 이메일 파일첨부 등을 함부로 열지 말 아야 한다. 

Phishing
(피싱) 전자우편이나 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업 이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정 보와 같이 기밀을 요하는 정보를 부정하게 얻는 Social  Engineering의 한 종류이다. 웹 사이트나 메일로 가장한 형태가  일반적이다. 가짜 사이트로 유도하는 공격형태이다.
=>이를 막으려면 메일이나 게시판 등의 첨부 파일의 확장자가 실행 가능한 파일 확장자인지 필터링하게 해두어야 한다. 

Pharming
(파밍) 해커는 hosts와 hosts.ics, DNS, PAC(Proxy Auto-Config) 파일 등 을 변경해서 악성 사이트로 유도하는 공격을 수행하는데 웹의 취 약점 이용해서 자동으로 실행되는 파밍 악성코드를 사용하기도  한다. 사용자가 해커의 지시대로 움직이게 하는 공격형태이다.
=>이를 막으려면 시스템에서 파일 변동을 추적할 수 있게 해두고 , 자바 등의 업데이트나 최신 패치를 해두어야 한다.

Ransom-ware
(랜섬웨어) 해커가 타겟 시스템에 암호화된 코드를 집어넣어서 웹 사이트를  잠그거나 무력화 시키는 기법이다. 웹 사이트나 파일시스템을 마비시켜서 돈을 주어야 해제 코드를 준다. CryptoLocker와 같은  Trojan을 사용한다. 
=>이를 막으려면 강력한 AV나 Anti-malware 프로그램을 사용하 고, 웹 사이트 파일을 별도의 서버에 두거나 Rootkit을 감시하는  구조로 설정해두어야 한다.

Watering Hole
(워터링 홀) 타겟 웹 사이트나 게시판에 접속한 사용자만 오염되도록 악성코드를 심어두는 공격기법이다. 일종의 서버 오염 공격(XSS, CSRF) 이다.
=>이를 막으려면 알지 못하는 파일을 함부로 열지 말아야 한다.

Virus Wall
(바이러스 월) WAN으로부터 네트워크를 통해서 내부 네트워크로 유입되는 컨텐츠의 바이러스가 로컬 LAN 내부로 유입되지 않게 하는 기법 
=>이를 막으려면 유입되는 데이터의 감염 여부를 검색하고 치료/ 격리 및 차단하여 바이러스의 확산을 막아야 한다.

 

  기본적인 보안 도구들

 

1) 타겟에 관한 광범위한 정보를 알려주는 - Nmap
nmap —help 해서 nmap에서의 옵션을 보면 매우 많은데  
sS : SYN 세션 수립 않음-디폴트 
sT / sU : TCP 스캔 / UDP 스캔  
sN : 모든 플래그(URG, FIN, PSH, SYN 등) 를 OFF로 설정(null)  
sX : 모든 플래그를 ON으로 설정(x-mass)  
sF : FIN 플래그만 설정
sP : Ping으로 라이브 노드만 점검 
sI 192.168.100.100 : 해당 IP가 좀비 머신인지 확인 
sW : window(데이터 전송량) 크기 점검 
sV : 열린 포트와 버전보기 
O : OS 보기
A : OS와 OS 버전 보기 
v : 상세 결과 보기 등과 이외의 많은 플래그들이 있다. 
=>포트스캔에 대한 결과는 open(열려있음), filtered(방화벽이 막았음), closed(닫혀있음), 그리고 unfiltered(알 수 없음)식으로 표시된다. 
2) 만능 보안도구인 - NetCat
  Swiss Army Knife로도 알려진 작지만 강력한 ncat은 주로 백도어로 사용되지만 포트스캔, 파일 송수신도 할 수 있다. netcat은 다양한 기능이 있으므로 잘 알아두면 좋다. 
3) 패킷 분석에 쓰이는 - TCPdump
  Tcpdump는 Wireshark와 유사한 패킷분석 도구로써 네트워크를 모니터링해서 인터페이스에 도달한 데이터를 콘솔에 텍스트로 표시해주므로 네트워크에 사용자 크레덴셜(사용자명과 패스워드)이 암호화되지 않은 채 평문으로 전송되면 바로 볼 수 있다.
4) 파일의 변조 유무를 알아내는 - TripWire 
  이 tripwire는 해커가 타겟 시스템에 침입해서 어느 파일을 변조한 경우 그 변조된 파일을 찾아주는 도구이다. 원리는 기존 파일의 해시 값과 속성을 저장한 데이터베이스를 만들어 두고(일종의 snapshot) 현재 파일의 해시 값과 속성 정보를 이 데이터베이스에 저장된 정보와 비교해서 변조된 파일을 찾아내는 원리이다. 이런 기법은 AV 프로그램의 작동과 유사하다. 하지만 실시간 확인은 불가능하다. 
=>가능한 한 시스템 설치 후 바로 Tripwire를 실행시켜 두는 것이 좋다.
5) 파일시스템 변경을 모니터링 하는 - RPM과 AIDE
  침입 등으로 인해서 시스템에 파일이 생성되거나 수정되는 등의 변경이 생기면 RPM 도구도 파일시스템을 점검하는데 제한적으로 사용될 수 있다. RPM 도구는 자신이 직접 설치하지 않은 RPM 파일에 대해서는 정보를 가지고 있지 않다는 제약이 있기 때문에 해커는 루트킷으로 트로이 목마를 RPM으로 설치하거나 데이터베이스를 RPM 소스로 변경해서 RPM 도구가 감지하지 못하게 해서 악성코드를 숨기기도 한다. 

  그러나 tripwire와 유사한 AIDE(Advanced Intrusion Detection Environment)라는 도구를 사용하면 이런 RPM 도구의 단점을 보완할 수 있다. tripwire는 더 이상 CentOS에 포함되어 있지 않지만 AIDE 도구는 Base 리포지터리로 설치할 수 있다. AIDE는 체크섬과 권한에 관한 데이터베이스 파일을 가지고 있으므로 이를 암호화해서 읽기전용 매체에 보관하면 해커에 의한 RPM 포맷으로의 변경을 잡아낼 수 있다. 시스템을 네트워크에 연결하기 전에 데이터베이스를 만들어 두면 aide는 CentOS의 오리지널 구성 파일을 데이터베이스화해서 지니게  되므로 이와 비교해서 변경 여부를 쉽게 확인할 수 있게 된다.  
6) 외부에서 시스템 포트를 스캔하는지 실시간으로 검사하는 - PortSentry(보병 보초, 외부에서 누가 우리를 들여다보나 알려준다.)
   nmap이 외부에서 타겟 시스템의 포트를 스캔해주는 침투도구라면(nmap은 내가 타겟을 스캔) portsentry는 실시간으로 메모리에 상주하면서 nmap과 같은 외부에서 해당 시스템의 포트 스캔을 탐지해서 막아주는 방어도구이다. 이 도구는 현재는 Cisco사에서 소유하고 있다. 시스템을 스캔한 침투자의 IP를 검사해서 TCPwrapper의 /etc/hosts.deny 파일에 침투자 IP를 넣어서 원천적으로 차단시키거나, 관리자에게 이메일로 침투자를 알려주거나, 또 스캔공격을 받을 때 외부 스크립트나 실행파일을 실행해서 자동으로 침투머신에 역공격을 수행시킬 수도 있다. 포트에 보초를 세운다는 의미로 /etc/portsentry/에서 *.conf 파일 등을 잘 살펴보면 어떤 메커니즘으로 이 도구가 동작하는지 파악할 수 있다. 
7) Rootkit 탐지하기 
a. 루트킷을 찾아내는 – chkrootkit과 chkproc, chkwtmp 
∎ chkrootkit으로 rootkit 도구가 시스템에 숨겨져 있는지 찾아내고, 
∎ chkproc는 해커가 내부 시스템에서 실행시키고 있는 악성 프로세스를 찾아내고,   ∎ ∎ chkwtmp는 지금까지 사용자들의 로그인, 로그아웃 했던 모든 내력을 모두 저장하고 있는 /var/log/wtmp 파일을 점검해서 해커가 비워놓았는지(null bytes) 검사해준다. 
b. 루트킷 사냥꾼 - rkhunter
  rkhunter는 대부분 UNIX/Linux 계열을 지원해 주며 백도어와 루트킷을 검출해서 루트킷이 사용하는 파일과 숨김 파일이 있는지 판별 해주고 취약점도 더불어 검사해 준다. 실행 한 뒤에는 관리자에게 각 파트별로 체크 결과를 보여주는 리포트 기능이 뛰어나다. 명령어 변조, 루트킷이나 웜의 존재, 백도어나 트로이목마의 존재, boots 영역 검사, 패스워드 없는 계정, SSH를 통한 root 로그인 가능여부, syslog나 rsyslog 데몬의 가동여부, /dev에 의심스런 파일 존재, httpd나 named 데몬에서의 문제 등을 검사해준다. 
8) 동일머신으로부터의 SSH 접속 수를 제한하는 - connlimit 
  해커가 특정 머신에서 타겟 서버에 패스워드를 크랙하기 위해서 반복적으로 SSH를 통해서 접속을 시도하는 경우 주어진 수의 ssh 연결 이상을 차단하는 도구가 connlimit이다. 이런 기법을 응용하면 동일한 머신에서 무수한 좀비 머신, 좀비 IP, 좀비 MAC 주소를 생성해서 연결해 오는 DDoS와 같은 공격을 막을 수도 있다.
9) 로그로 침입여부를 판단해주는 - Logcheck와 Logwatch 
  해커는 타겟 시스템에 들어와서 파일 등을 변조하거나 악성 백도어를 심어둔 뒤 작업 흔적을 지우기 위해서 작업했던 기록을 가지고 있는 로그파일을 변조하기도 하므로 관리자는 Logcheck, Logwatch, 그리고 Loganalyzer와 같은 도구로 시스템 로그를 검사해서 시스템에서 일어난 중요한 작업이나 로그파일 변조유무 등을 확인해서 침투된 여부를 판별할 수 있어야 한다. 
=>이를 위해서 로그파일을 반드시 다른 머신에 저장시키는 구조의 네트워크를 구축해 두어야 한다. 
  
  시스템 점검도구로 시스템 로그에 관한 Logcheck와 Logwatch, 파일의 변경이나 백도어  업로드 등 파일에 관한 Filewatcher, 또 특정 로그 체크와 사용자 정의 작업에 관한 Watchdog 등이 있다. Logcheck 도구는 침투가 우려되거나 중요한 서비스 항목에 대해서 로그파일을 생성시켜서 해당 서비스에 문제가 있을 때 관리자에게 메일링하도록 설정해주는 도구이다.