chkrootkit 검사 한번 확인해주시겠어요??
글쓴이: cssml / 작성시간: 일, 2004/04/18 - 1:55오전
새벽시간에 갑작스런 80포트의 서비스 불가로 인해 혹시나 모를 사고에 이리저리 생각중에 체크 루트킷을 돌려봤습니다.
확인해보려니 저한텐 좀 무리가 아닌가 싶습니다.
갑작스래 80포트가 되지 않는 경우도 있나요? 그리고 80포트 외에 다른 포트를 지정하면 접속이 됩니다. 후 지금 서비스 되는 서번데 참 답답하네요, 새로운 박스에 설치할 시간이 없는데...
[root@ns chkrootkit-0.43]# ./chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not infected Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /usr/lib/jpeg/.libs /usr/lib/gd/.libs /usr/lib/gd/.deps /usr/lib/mm/.libs /usr /lib/libungif/lib/.libs /usr/lib/libungif/util/.libs /usr/lib/freetype/builds/unix/.cvsignore /usr/lib/freetype/.cvsignore /usr/lib/f reetype/docs/reference/.cvsignore /usr/lib/freetype/objs/.cvsignore /usr/lib/freetype/objs/.libs /usr/lib/freetype/src/tools/docmaker /.cvsignore /usr/lib/t1lib/xglyph/.dependencies /usr/lib/t1lib/lib/type1/.dependencies /usr/lib/t1lib/lib/t1lib/.dependencies /usr/li b/t1lib/type1afm/.dependencies /usr/lib/t1lib/examples/.dependencies /usr/lib/libmcrypt/lib/.deps /usr/lib/libmcrypt/lib/.libs /usr/l ib/libmcrypt/src/.deps /usr/lib/libmcrypt/src/.libs /usr/lib/libmcrypt/modules/modes/.deps /usr/lib/libmcrypt/modules/modes/.libs /us r/lib/libmcrypt/modules/algorithms/.deps /usr/lib/libmcrypt/modules/algorithms/.libs /usr/lib/jpeg/.libs /usr/lib/gd/.libs /usr/lib/gd/.deps /usr/lib/mm/.libs /usr/lib/libungif/lib/.libs /usr/lib/libungif/util/.libs /u sr/lib/freetype/objs/.libs /usr/lib/libmcrypt/lib/.deps /usr/lib/libmcrypt/lib/.libs /usr/lib/libmcrypt/src/.deps /usr/lib/libmcrypt/ src/.libs /usr/lib/libmcrypt/modules/modes/.deps /usr/lib/libmcrypt/modules/modes/.libs /usr/lib/libmcrypt/modules/algorithms/.deps / usr/lib/libmcrypt/modules/algorithms/.libs Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit ... nothing found Searching for Romanian rootkit ... nothing found Searching for HKRK rootkit ... nothing found Searching for Suckit rootkit ... nothing found Searching for Volc rootkit ... nothing found Searching for Gold2 rootkit ... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... nothing detected Checking `rexedcs'... not found Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets eth1: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... user net deleted or never loged from lastlog!
이해를 못했는데요 약간 의심스러운 부분이 eth0 eth1 인것 같은데..
잘못 판단한걸까요?? 서비스 내리고 얼른 새로 박스를 구성해야할런지..
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets eth1: not promisc and no PF_PACKET sockets
Forums:
걱정하실 필요 없는거 같습니다.eth0, 1 은 promiscous
걱정하실 필요 없는거 같습니다.
eth0, 1 은 promiscous mode 아니라는 말입니다.
다시말해 스니핑 모드가 아니란 말이죠
PF_PACKET 은 패킷을 만들어 내는 소켙 옵션이죠
이역시 특정 응용이 패킷을 만들어 내지 않는다는 소리구요...
걱정하지 않으셔두 됩니다.
웹의 경우는 로컬의 내부공격없이 간단한 syn Dos 공격으로도 정상 서비스가 불가능 할수 있답니다.
『 아픔은.. 아픔을 달래줄 약이 무엇인지 알면서도 쓰지 못할 때 비로소 그 아픔의 깊이를 알수가 있음이다. 』
『 for return...』
그렇다면 내부에서 말고 다른 원격지에서 syn Dos 공격으로도 80포트
그렇다면 내부에서 말고 다른 원격지에서 syn Dos 공격으로도 80포트가 일시 중단이 될수가 있다는 말씀이신가요??
참조할수 있는 링크좀 부탁드리겠습니다.
다시 컴파일해보고 이리저리 로그 확인하느라 밤새 지쳐버렸네요..
감사합니다.
syn flooding attack은 kldp 에서 검색해보시면 많은 자
syn flooding attack은 kldp 에서 검색해보시면 많은 자료를 찾아보실수 있구요..
어느순간 웹 서비스가 안될때 간단한 syn 공격 탐지는
netstat -vatn 만으로도 알수 있습니다.
포트 80번을 향한 접속상태가 syn_receive 상태가 2개이상 있다면 syn공격이 90%이상 맞다고 보시면 됩니다.
너무 무리한 삽은 정신건강과 몸에 해롭습니다 -_-;;
『 아픔은.. 아픔을 달래줄 약이 무엇인지 알면서도 쓰지 못할 때 비로소 그 아픔의 깊이를 알수가 있음이다. 』
『 for return...』
우선 httpd가 갑자기 죽은 이유는 로그를 보시면 어느정도 아실수 있을
우선 httpd가 갑자기 죽은 이유는 로그를 보시면 어느정도 아실수 있을 거라는 생각이 드네요..
평소와 다르게 error_log나 access_log가 갑자기 늘었다거나, 비정상적인 접속으로 의심되는 로그가 남았다든지 등을 확인해보세요..
그리고 chkrootkit을 실행시키셨을때 툴이 설치가 되었거나, 명령셀이 변형되었을때는 INFECTED라는 표시가 됩니다..
참고하세요..
나무가 나무에게 말했습니다. 우리 숲이되어 지키자!
댓글 달기