전에부터 자주나오는 루트킷메시지..ㅡ,.ㅡ;;

글쓴이: ㅡ,.ㅡ;; / 작성시간: 수, 2006/01/04 - 4:14오후

..........
Searching for Anonoying rootkit default files and dirs... Possible anonoying rootkit installed
.........

Checking `lkm'... You have     1 process hidden for readdir command
You have     1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
.............

이거 다시 깔지 않고 치료(?) 좀할수 없을까요?

Forums:

설치 및 활용 QnA

댓글 달기

특정의 루트킷의 경우(예: suckit)의 경우 자체 삭제 기능이 있지만

글쓴이: Stand Alone Complex / 작성시간: 수, 2006/01/04 - 4:58오후

특정의 루트킷의 경우(예: suckit)의 경우 자체 삭제 기능이 있지만

악의적인 목적으로 만들어지거나 변형된 루트킷은 그런 기능이 거의 없습니다.

또한 거의 모든 크래커들이 그렇듯 루트킷"만" 까는 경우는 없습니다.

그러므로, 원인 파악을 하신뒤 재 설치하시는게 최선의 선택으로 보여집니다.

RET ;My life :P

답글

새로깐지 얼마 안되는데 어떻게 들어온지 원인을 모르겠습니다..ㅡ,.ㅡ;;

글쓴이: ㅡ,.ㅡ;; / 작성시간: 수, 2006/01/04 - 5:08오후

새로깐지 얼마 안되는데 어떻게 들어온지 원인을 모르겠습니다..ㅡ,.ㅡ;;

어떻게살펴봐야하나....
숨은 process 한개가 있다?? ps 로 확인?? 하란뜻인가?

----------------------------------------------------------------------------

답글

아마 문제 없을 것 같습니다.커널 2.4로 부팅할 경우 chkro

글쓴이: Prentice / 작성시간: 수, 2006/01/04 - 5:12오후

아마 문제 없을 것 같습니다.

커널 2.4로 부팅할 경우 chkrootkit에 문제가 없으면 괜찮습니다.

커널 2.6의 경우 문제가 없는데도 LKM 문제가 있을 수 있다는 오진(false positive)이 있을 수 있는데, /proc 의 내용과 ps 명령어의 결과에 차이가 없으면 문제 없습니다.

---

"Possible annoying rootkit installed" 메시지가 조금 걸리긴 하는데.. chkrootkit 체크를 해본 지 오래돼서 잘 모르겠네요.

답글

rkhunter 한번 돌려보시길..

글쓴이: 땡깡 / 작성시간: 수, 2006/01/04 - 5:36오후

http://rootkit.nl 에서 제공하는 rkhunter 설치하셔서 한번 돌려보세요

돌리실때 --createlogfile 옵션줘서 돌리시면 /var/log/rkhunter.log 파일 생성됩니다.

여기서 루트킷 관련 부분 로그 보시면, 감염된 파일이나 이상한 프로세스 보여줍니다.

qmail 서버에서 chkrootkit 돌려보면 히든 프로세스 있다는 메시지를 자주 볼 수 있었던 것도 기억이 나는군요..

what is my wish?

답글

댓글 달기

이름

제목

댓글 *

텍스트 포맷에 대한 자세한 정보

텍스트 양식

Filtered HTML

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
You can use Textile markup to format text.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
Quick Tips:
- Two or more spaces at a line's end = Line break
- Double returns = Paragraph
- *Single asterisks* or _single underscores_ = Emphasis
- **Double** or __double__ = Strong
- This is [a link](http://the.link.example.com "The optional title text")
For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

HTML 태그를 사용할 수 없습니다.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
줄과 단락은 자동으로 분리됩니다.

CAPTCHA

이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.

부 메뉴

전에부터 자주나오는 루트킷메시지..ㅡ,.ㅡ;;

특정의 루트킷의 경우(예: suckit)의 경우 자체 삭제 기능이 있지만

새로깐지 얼마 안되는데 어떻게 들어온지 원인을 모르겠습니다..ㅡ,.ㅡ;;

아마 문제 없을 것 같습니다.커널 2.4로 부팅할 경우 chkro

rkhunter 한번 돌려보시길..

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

둘러보기

부 메뉴

현재 위치

전에부터 자주나오는 루트킷메시지..ㅡ,.ㅡ;;

특정의 루트킷의 경우(예: suckit)의 경우 자체 삭제 기능이 있지만

새로깐지 얼마 안되는데 어떻게 들어온지 원인을 모르겠습니다..ㅡ,.ㅡ;;

아마 문제 없을 것 같습니다.커널 2.4로 부팅할 경우 chkro

rkhunter 한번 돌려보시길..

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

검색 폼

둘러보기

사용자 로그인

Oauth2 Login :