chkrootkit으로 확인한 결과 입니다.
글쓴이: kimyh / 작성시간: 목, 2005/08/11 - 12:47오후
chkrootkit으로 확인한 결과 입니다.
ifconfig 와 pstree에 INFECTED라고 나오는군요
ifconfig와 pstree가 있는 rpm패케지를 다운받아 기존 패케지를 삭제하고
새로설치해도 괜찬을가요.
ifconfig같은 화일은 위와같이 할경우 네트워크설정부분이 변경되지않는지
요?
조치방법을 알수없는데 아시는분 부탁드립니다.
chkrootkit 실행결과 [root@localhost chkrootkit-0.45]# ./chkrootkit ROOTDIR is `/' Checking `amd'... not infected Checking `basename'... not infected Checking `biff'... not infected Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not infected Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... INFECTED Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not infected Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... can't exec ./strings-static, not tested Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... INFECTED Checking `rpcinfo'... not infected Checking `rlogind'... not infected Checking `rshd'... not infected Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not infected Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) r ootkit installed Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothin g found Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /usr/lib/libsh/. bashrc /usr/lib/openoffice/share/gnome/net/.directory /usr/lib/openoffice/share/gnome/net/.order /usr/lib/openoffice/share/kd e/net/applnk/OpenOffice.org/.directory /usr/lib/openof fice/share/kde/net/applnk/OpenOffice.org/.order /usr/lib/qt-3.1/etc/set tings/.qtrc.lock /usr/lib/qt-3.1/etc/settings/.qt_plug ins_3.1rc.lock Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... /usr/include/file.h /usr/include/pro c.h Searching for HKRK rootkit... nothing found Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... Checking `rexedcs'... not found Checking `sniffer'... not tested: can't exec ./ifpromisc Checking `w55808'... not infected Checking `wted'... not tested: can't exec ./chkwtmp Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... not tested: can't exec ./chklastlog Checking `chkutmp'... not tested: can't exec ./chkutmp [root@localhost chkrootkit-0.45]#
Forums:
두 패키지를 다시 설치하신다고 해도 이미 한번 침입을 당한 상태이니 다시
두 패키지를 다시 설치하신다고 해도 이미 한번 침입을 당한 상태이니 다시 침입하지 못한다는 법도 없습니다.
가능하다면 백도어, 침입 루트를 찾아 막던지 아니면 다시 설치하시는 편이 정신건강에 도움이 됩니다.
하지만 부득이하게 다시 설치하지 못하는 상황이라면
레드햇의 경우 ifconfig 결과와 /etc/sysconfig/network-scripts 디렉토리의 파일들 내용과 비교를 해보심이 좋을 듯 합니다.
답변 정말 감사합니다.서버를 밀어버리고 다시 재설치할 형편이 못되어
답변 정말 감사합니다.
서버를 밀어버리고 다시 재설치할 형편이 못되어 이들째 밤샘중입니다.
현재 똑같은 버젼의서버를 두대 운영하고있는데 다른 서버는 이상이 없습니다.
그래서 다른 정상서버와 /etc/sysconfig/network-scripts 를 비교해보면 일단 디록토리 내용은 이상없이 똑 같습니다.
정상 서버에서 모두 카피하여 참고로 i /etc/sysconfig/network-scripts 내용을 덮어씨우기 하면 않될까요?
/etc/sysconfig/network-scripts 내용을 올려드립니다.
ifcfg-eth0
ifcfg-eth1
ifcfg-lo
ifdown
ifdown-aliases
ifdown-cipcb
ifdown-ippp
ifdown-ipv6
ifdown-isdn
ifdown-post
ifdown-ppp
ifdown-sit
ifdown-sl
ifup
ifup-aliases
ifup-cipcb
ifup-ippp
ifup-ipv6
ifup-ipx
ifup-isdn
ifup-plip
ifup-plusb
ifup-post
ifup-ppp
ifup-routes
ifup-sit
ifup-sl
ifup-wireless
init.ipv6-global
network-functions
network-functions-ipv6
살며 그리고 사랑하며...
정보는 공유할때 그 가치가 있는것.....
나의 조그만 지식공유는 남에게 엄청난 기쁨을 안겨 준다.
ifconfig 는 net-tools,pstree 는 psmisc 패
ifconfig 는 net-tools,
pstree 는 psmisc 패키지에 포함되어있네요
두 가지 rpm 을 다시 설치한다고 해서 문제 생길 부분은 없는듯 하구요.
우선 가능한 한 네트웍선을 뽑으시고,
위에서 볼댄 다른 주요 명령어들은 감염되지 않은것 같은데 혹시 모르니
rpm -Va 로 ls 나 ps 같은 명령어에 손상이 가지 않았나 다시 확인해 보시고,
문제 생긴 명령어를 포함하는 rpm 은 재설치를 하시고,
/proc 밑에 가셔서 숨겨진 프로세스는 없는지 확인해보시고 (.숫자 로 된 디렉토리 - 아마 agent 형식으로 심어져 있으면 여기에서 근거를 찾으실 수도 있구요)
물론 이 프로세스는 이상없는 ps 에 의한 출력으로도 찾아낼 수 있을겁니다. 제 기억으로는... ^^
숨겨진 백도어 찾으시면 요놈을 우선 다른 곳으로 옮겨 주시고 (증거확보),
관련 프로세스 죽이고, 보안 세팅 하신후 다시 서비스 하시면 될듯합니다.
예전 기억을 더듬다 보니 명확하지 못한 설명을 드렸을 수도 있습니다.
집에가서 발닦고 잠이나 자자...
침투 경로나 원인을 모르는 상태에서 설치된 루트킷만 제거한다고 문제가 해
침투 경로나 원인을 모르는 상태에서 설치된 루트킷만 제거한다고 문제가 해결되지는 않을 것입니다. 그리고 chkrootkit이 탐지 못하는 것이 있을 수도 있습니다. 그런 경우에는 지속적으로 문제가 될 수 있기 때문에 새로 설치하는 것이 좋습니다.
새로 설치해도 문제가 되긴 마찬가지 입니다.일단 설치된 백도어야 제거
새로 설치해도 문제가 되긴 마찬가지 입니다.
일단 설치된 백도어야 제거가 되겠지만 같은 설정이라면
똑 같은 방법으로 다시 들어올 수 있기 때문이지요.
보안이 깨진 원인을 알아야만 하지 그 원인을 모른다면
새로운 설치도 극히 일시적인 처방밖에는 안됩니다.
George double you Bush has two brains, the left and the right, like normal people. But the problem is that there is nothing right in his left brain and there is nothing left in his right brain"
[quote="opiokane"]새로 설치해도 문제가 되긴 마찬가지 입니
맞습니다. 그렇기 때문에 백업은 물론 각종 log를 매일 체크해야 하고 필요에 따라 과거의 log를 들여다 보면서 추적이 가능해야 합니다.
댓글 달기