(주)레디시스템
Home
홈으로 회사소개 시스템 웹 사이트맵 헬프데스크
 
 
작성일 : 08-03-18 16:17
linux rootkit 설치 및 확인
 글쓴이 : 관리자
조회 : 15,271  
   http://cafe.naver.com/intercop.cafe?iframe_url=/ArticleRead.nhn%3Farti… [610]

http://www.chkrootkit.org/


[root@reyad data]# gunzip chkrootkit.tar.gz
[root@reyad data]# tar xvf chkrootkit.tar
chkrootkit-0.48
chkrootkit-0.48/ACKNOWLEDGMENTS
chkrootkit-0.48/check_wtmpx.c
chkrootkit-0.48/chkdirs.c
chkrootkit-0.48/chklastlog.c
chkrootkit-0.48/chkproc.c
chkrootkit-0.48/chkrootkit
chkrootkit-0.48/chkrootkit.lsm
chkrootkit-0.48/chkutmp.c
chkrootkit-0.48/chkwtmp.c
chkrootkit-0.48/COPYRIGHT
chkrootkit-0.48/ifpromisc.c
chkrootkit-0.48/Makefile
chkrootkit-0.48/README
chkrootkit-0.48/README.chklastlog
chkrootkit-0.48/README.chkwtmp
chkrootkit-0.48/strings.c
[root@reyad data]# cd chkrootkit
-bash: cd: chkrootkit: No such file or directory
[root@reyad data]# cd chkrootkit
chkrootkit-0.48/ chkrootkit.tar  
[root@reyad data]# cd chkrootkit-0.48/
[root@reyad chkrootkit-0.48]# make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
gcc -DHAVE_LASTLOG_H   -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
gcc  -o chkproc chkproc.c
gcc  -o chkdirs chkdirs.c
gcc  -o check_wtmpx check_wtmpx.c
gcc -static  -o strings-static strings.c
gcc  -o chkutmp chkutmp.c
[root@reyad chkrootkit-0.48]#lsattr /usr/bin/* /usr/sbin/* /bin/* /sbin/* | awk -F\  '!/-------------/ {print $2}'

변조 파일 확인

[root@reyad chkrootkit-0.48]# ./chkrootkit


ROOTDIR is `/'
Checking `amd'... not infected
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected


...................................


Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         2482 tty1   /sbin/mingetty tty1
! root         2507 tty2   /sbin/mingetty tty2
! root         2580 tty3   /sbin/mingetty tty3
! root         2597 tty4   /sbin/mingetty tty4
! root         2635 tty5   /sbin/mingetty tty5
! root         3475 tty8   /bin/sh /etc/X11/gdm/XKeepsCrashing -noopen
! root         3554 tty8   /usr/bin/dialog --yesno I cannot start the X server (your graphical interface).  It is likely that it is not set up correctly.  Would you like to view the X server output to diagnose the problem? 10 50
chkutmp: nothing deleted
[root@reyad chkrootkit-0.48]# l


- INFECTED : 해당 파일이 변조되었음.
- not infected : 파일이 변조되지 않았음.
- not tested : 파일 변조 여부를 체크하지 못했음.
- not fount : 변조 여부를 체크하려는 파일이 없음.


만약 위와 같이 확인 하였을 때 파일이 변조되고 루크킷이 설치되었다는 것을 확인한 후에는 먼저 변조된 파일을 원본파일로 교체하고 설치되어 있는 백도어를 찾아 모두 제거해야 한다. 그러나 백도어가 설치되었다는 것은 이미 해킹을당하여 누군가가 시스템의 관리자 권한을 획득했다는 의미이므로 변조된 파일을 찾아 원본 파일로 교체하는 것은 임시 방편 이다.따라서 이러한 경우 시스템을 완전히 다시 설치하는 것이 가장 좋다.

[링크 참조]


 


 
 

Total 106
번호 제   목 글쓴이 날짜 조회
91 DL320s 8.5TB CentOS 4.6 설치
관리자
2008/05/23 7035
90 CentOS 5.0 HP DL360G5 Warning only 4GB will be used 나올경…
관리자
2008/05/19 6357
89 iptable 이용 하여 포트별 IP 차단
관리자
2008/04/25 10076
88 리눅스 시스템 응급복구
관리자
2008/04/18 6206
87 memory leak 현상
관리자
2008/04/17 8421
86 yum
관리자
2008/04/15 4794
85 sfdisk 파티션 정보 복사
관리자
2008/04/07 11022
84 HBA FC linux binding
관리자
2008/04/07 8563
83 chkproc -v
관리자
2008/03/18 5553
82 linux rootkit 설치 및 확인
관리자
2008/03/18 15272
81 ntp 시간 자동화 설정
관리자
2008/03/18 21349
80 device sd(8,17) 물리적 디스크 확인 방법
관리자
2008/03/14 9289
79 리눅스 네트워크 튜닝
관리자
2008/03/10 7858
78 DL580G5 NIC 10G NC510C 설치
관리자
2008/03/10 19627
77 core dump 설정
관리자
2008/03/05 11662
 1  2  3  4  5  6  7  8  
 
문서 상단으로
 
 
Administrator Login
웹마스터