메뉴 건너뛰기

조회 수 11323 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
해킹당한 시스템을 점검하다가  chkrootkit 를 한번 돌려봤다.
 
우선 chkrootkit 를 다운받는다. 최신버젼이 0.49다.
 
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar xvfz chkrootkit.tar.gz
# cd chkrootkit-0.49
# make sense
# ./chkrootkit
---------------------------------------------------------------------------
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... INFECTED
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
.
.
.
---------------------------------------------------------------------------
 
실행하면 이런식으로 나타난다. 한두개도 아니고 변조된 파일 찾다가 눈깔이 빠질 정도다..
위에서는 netstat  실행파일이 변조되었다고 뜬다.
 
-----------------------------------------
not infected 정상파일
INFECTED 변조된파일    ----> 이런 메세지를  찾자..
nothing found 찾을수 없음
not tested 파일 변조 여부 체크 하지 못함.
-----------------------------------------
 
이리하여.. 간단하게 아래 명령어조합으로 찾아보자..
 
# ./chkrootkit | grep INFECTED
-----------------------------------------
Checking `netstat'... INFECTED
-----------------------------------
 
netstat 파일이 변조되었으므로 재설치를 해야한다. 이파일은 rpm으로 설치되어 있다.
 
아래와 같이 실행파일의 rpm명을 검색한다.
 
# rpm -qf `which netstat`
--------------------------
net-tools-1.60-52.fc4.2
--------------------------
 
net-tools-1.60-52.fc4.2.i386.rpm 라는 명의 rpm 이다.
 
구글가서 위의 rpm 명으로 갬색해서 다운받자.
 
# wget ftp://ftp.univie.ac.at/systems/linux/fedora/core/updates/4/i386/net-tools-1.60-52.fc4.2.i386.rpm
 
그리고 설치를 해야된다. 그러나 같은 버전을 받았기 때문에 그냥 -Uvh 로 설치하면 설치가 안된다.
깔려있다고.ㅋㅋ
 
그럼 강제설치..
 
# rpm -Uvh --force net-tools-1.60-52.fc4.2.i386.rpm
 
강제 업데이트 설치하고 나서 다시
 
# ./chkrootkit | grep INFECTED
 
아무런 메세지가 나타나지않는다.
변조된 파일 netstat 가 이제 정상복구되었다.
 
여기서는 변조된 실행파일 netstat 만 언급하였다. 이것을 응용해서 다른변조된 파일도 정상 복구 하길바란다.

List of Articles
번호 제목 날짜 조회 수
77 AIDE를 이용한 리눅스 파일 시스템의 무결성 점검 2014.03.26 8640
76 qmail 587 포트 추가 2014.03.26 7464
75 sendmail 587 포트 사용 2014.03.26 7812
74 Proftp 설치 2014.03.26 7101
73 Apache 웹서버 server-status 모니터링 file 2014.03.26 7044
» chkrootkit 0.49 설치 및 사용법 그리고 변조파일 정상 복원 2014.03.26 11323
71 ZendOptimizer 3.3.9 설치하기 2014.03.26 7139
70 웹호스팅용 리눅스 서버 셋팅 file 2014.03.26 8045
69 시스템 이상시 복구 모드 사용법..(rescue mode) Linux 2014.03.26 7349
68 mail 명령어 사용법 2014.03.26 7187
67 ncftp 설치및 스크립트 백업 방법 file 2014.02.27 8015
66 rsync 와 ssh 를 이용한 네트워크 백업하기 2014.02.27 7825
65 ssh에서 sftp 사용 막기 2014.02.27 7563
64 Apache(아파치)를 사용해 redirect(리다이렉트) 하는 방법 7 2014.02.27 8054
63 yum (Yellowdog Updater Modified) 명령어 정리 2014.02.27 7689
62 Apache 웹서버 server-status 모니터링 2014.02.27 8160
61 웹호스팅용 리눅스 서버 셋팅 file 2014.02.27 7828
60 리눅스 해킹사고 분석 및 대응절차 2014.02.27 8587
59 LILO, GRUB root 패스워드 리셋 2014.02.27 7971
58 OpenSSH chroot 설정 file 2014.02.27 8823
Board Pagination Prev 1 ... 3 4 5 6 7 8 9 10 11 12 Next
/ 12

하단 정보를 입력할 수 있습니다

© k2s0o1d4e0s2i1g5n. All Rights Reserved