chkrootkit을 돌릴때엔 snort랑 portsentry를 꼭 끄고하자!

아빠곰의 이미지


시스템이 조금 이상한거갈아서 chkrootkit을 살짝 돌려줬습니다. 그랬더니 이게 무슨일입니까!

bindshell이 감염(INFECTED)되었다는 청천벽력같은 로그가 보이네요 T.T

한동안 패닉상태에 있다가 확인해보니, snort랑 portsentry같은 툴때문에 chkrootkit이 이상작동한거였습니다.

아이고, 놀라라 :)

returnet의 이미지

으흠.. 저도 포트센트리는 씁니다만.. 루트킷 체크에서 별다른 메세지를 보지 못했는데요..
특정 포트 활성 여부가 영향을 끼치는 것인가요?
----
http://returnet.blogdns.com

아빠곰의 이미지

우분투 대퍼를 쓰고있습니다.

다시해보아도, portsentry가 켜져있으면 chkroot에 infected가 뜨는군요.
왜그럴까요 +.+?

chkrootkit은 0.46a-2, portsentry는 1.2-9입니다.
----
아발발다빠따반반나다발딸발발다빠따따맣밤밤따받따발발다따밝다발발다빠따따밤반다빠따다맣밥발
발다따밥다발발다따박다발발다빠따따밞밭밭다따다맣아희

----
아발발다빠따반반나다발딸발발다빠따따맣밤밤따받따발발다따밝다발발다빠따따밤반다빠따다맣밥발
발다따밥다발발다따박다발발다빠따따밞밭밭다따다맣아희

Necromancer의 이미지

snort와 portsentry는 모든 패킷을 감시하기 위해서
랜카드를 promiscuous mode로 돌립니다.

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction