RKHunter 파일변조감지 r관련

mulriver의 이미지

며칠전부터 RKHunter MD5 매치에서 BAD가 몇개 뜹니다.
그런데 이상한것은...
파일날짜는 RKHunter 가 감지하기 한달전쯤인데다
chkrootkit 에서는 정상으로 나오는 군요.

정말 변조된것인지 궁금합니다.
물론, RKHunter 는 업뎃했습니다.

꾸벅~!

ps;
chkproc 검사결과 ps로 출력되지 않는 프로세스가 30개 내외인건 정상인가요?
(웹서버이고 메일서버입니다.)

Stand Alone Complex의 이미지

어느 부분에서 md5 매치가 BAD가 나느냐에 따라 틀립니다.

또한 체크루트킷은 배포판의 패키지에서 설치해서 사용하는것 보다는

소스를 직접 받아서 컴파일하신뒤 실행하는게 더 신뢰도가 높습니다.

그런분들을 위해 쉘 스크립트를 만들었습니다. (광고인가요? :oops: )

http://bbs.kldp.org/viewtopic.php?t=66154

RET ;My life :P

mulriver의 이미지

Stand Alone Complex wrote:
어느 부분에서 md5 매치가 BAD가 나느냐에 따라 틀립니다.

파일에 따라 'BAD'의 의미가 틀리다는 뜻인지요?

Stand Alone Complex wrote:
또한 체크루트킷은 배포판의 패키지에서 설치해서 사용하는것 보다는

소스를 직접 받아서 컴파일하신뒤 실행하는게 더 신뢰도가 높습니다.

chkrootkit 은 소스컴파일 한 결과입니다.
현재로선 RKHunter보다 chkrootkit을 신뢰할 만하다고 보아도 되는지 모르겠습니다.

답변 감사드립니다. 꾸벅~!

Nothing besides YOU.

땡깡의 이미지

rkhunter -c 옵션으로 확인하셔서 어디선가 BAD 가 나온다면

rkhunter -c --createlogfile 이 옵션으로 다시 한번 돌려보세요

로그 바일은 /var/log/rkhunter.log에 생성됩니다.

그 파일을 열어서 확인해 보시면,

해당 경고에 해당하는 파일을 찾아보시면 됩니다.

아래 내용은 저희 고객 서버에 이상이 생겨서 제가 접속해서 확인해본 결과입니다.

rkhunter -c 했을때
Scanning for known rootkit strings
[ BAD ]
Warning: Found unexpected strings in some files! See logfile for more details

이렇게 나와서 뒤에 로그 파일 생성 옵션으로 돌려본 결과

[13:55:11] /sbin/init clean (string: /dev/proc/fuckit)
[13:55:11] Warning: /sbin/init NOT clean (string: FUCK)
[13:55:11] Warning: /sbin/init NOT clean (string: backdoor)

이렇게 /sbin/init 가 변조 된게 확인됐네요.

chkrootkit 돌린 결과도
Searching for Suckit rootkit... Warning: /sbin/init INFECTED

이렇게 나옵니다.

전 rkhunter랑 chkrootkit을 모두 돌려봐서 비교해 봅니다만.

what is my wish?

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.