RKHunter 파일변조감지 r관련
글쓴이: mulriver / 작성시간: 수, 2005/12/21 - 12:31오후
며칠전부터 RKHunter MD5 매치에서 BAD가 몇개 뜹니다.
그런데 이상한것은...
파일날짜는 RKHunter 가 감지하기 한달전쯤인데다
chkrootkit 에서는 정상으로 나오는 군요.
정말 변조된것인지 궁금합니다.
물론, RKHunter 는 업뎃했습니다.
꾸벅~!
ps;
chkproc 검사결과 ps로 출력되지 않는 프로세스가 30개 내외인건 정상인가요?
(웹서버이고 메일서버입니다.)
Forums:
어느 부분에서 md5 매치가 BAD가 나느냐에 따라 틀립니다.또한
어느 부분에서 md5 매치가 BAD가 나느냐에 따라 틀립니다.
또한 체크루트킷은 배포판의 패키지에서 설치해서 사용하는것 보다는
소스를 직접 받아서 컴파일하신뒤 실행하는게 더 신뢰도가 높습니다.
그런분들을 위해 쉘 스크립트를 만들었습니다. (광고인가요? :oops: )
http://bbs.kldp.org/viewtopic.php?t=66154
RET ;My life :P
답변감사합니다.
파일에 따라 'BAD'의 의미가 틀리다는 뜻인지요?
chkrootkit 은 소스컴파일 한 결과입니다.
현재로선 RKHunter보다 chkrootkit을 신뢰할 만하다고 보아도 되는지 모르겠습니다.
답변 감사드립니다. 꾸벅~!
Nothing besides YOU.
rkhunter 옵션으로 확인해 보시길
rkhunter -c 옵션으로 확인하셔서 어디선가 BAD 가 나온다면
rkhunter -c --createlogfile 이 옵션으로 다시 한번 돌려보세요
로그 바일은 /var/log/rkhunter.log에 생성됩니다.
그 파일을 열어서 확인해 보시면,
해당 경고에 해당하는 파일을 찾아보시면 됩니다.
아래 내용은 저희 고객 서버에 이상이 생겨서 제가 접속해서 확인해본 결과입니다.
rkhunter -c 했을때
Scanning for known rootkit strings
[ BAD ]
Warning: Found unexpected strings in some files! See logfile for more details
이렇게 나와서 뒤에 로그 파일 생성 옵션으로 돌려본 결과
[13:55:11] /sbin/init clean (string: /dev/proc/fuckit)
[13:55:11] Warning: /sbin/init NOT clean (string: FUCK)
[13:55:11] Warning: /sbin/init NOT clean (string: backdoor)
이렇게 /sbin/init 가 변조 된게 확인됐네요.
chkrootkit 돌린 결과도
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
이렇게 나옵니다.
전 rkhunter랑 chkrootkit을 모두 돌려봐서 비교해 봅니다만.
what is my wish?
댓글 달기