Home     FreeBSD     Linux     MS-Window     PHP     Data Base     Utility     Phone     Etc  

   
  Category : Linux         chkrootkit 을 이용한 루트킷 탐지법수정   삭제   
# mkdir /chkrootkit /* 디렉토리 생성 */
# cd /chkrootkit/ /* 생성된 디렉토리로 이동 */
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
/* wget으로 다운로드 */
출처 http://anews.smartflex.org/m/post/650
[1] chkrootkit 설치

# ls -al
-rw-r--r-- 1 root root 39421 9월 8 14:15 chkrootkit.tar.gz
# tar -zxvf chkrootkit.tar.gz /* 압푹 파일 풀기 */
# ls -alF
drwxr-xr-x 2 1000 1000 4096 7월 30 23:26 chkrootkit-0.49/
-rw-r--r-- 1 root root 39421 9월 8 14:15 chkrootkit.tar.gz
# cd chkrootkit-0.49/
# pwd
/chkrootkit/chkrootkit-0.49
# ls
ACKNOWLEDGMENTS README.chklastlog chklastlog.c chkutmp.c
COPYRIGHT README.chkwtmp chkproc.c chkwtmp.c
Makefile check_wtmpx.c chkrootkit ifpromisc.c
README chkdirs.c chkrootkit.lsm strings.c
# make sense /* 컴파일 진행 */
# ls
ACKNOWLEDGMENTS README.chkwtmp chklastlog chkrootkit.lsm ifpromisc
COPYRIGHT check_wtmpx chklastlog.c chkutmp ifpromisc.c
Makefile check_wtmpx.c chkproc chkutmp.c strings-static
README chkdirs chkproc.c chkwtmp strings.c
README.chklastlog chkdirs.c chkrootkit chkwtmp.c
컴파일을 하면 몇 가지 실행 파일들이 컴파일 되는데, 각각은 다음과 같은 기능을 가지고 있다.
다음은 chkrootkit이 제공하는 보안 점검 유틸리티들이다. 반드시 익혀두자!









[2] promiscuous 설정



# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:11:66:58
inet addr:172.16.8.250 Bcast:172.16.255.255 Mask:255.255.0.0
inet6 addr: fe80::20c:29ff:fe11:6658/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:80474 errors:0 dropped:0 overruns:0 frame:0
TX packets:42 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7809653 (7.4 MiB) TX bytes:5746 (5.6 KiB)
Interrupt:59 Base address:0x2080




# ifconfig eth1 promisc
# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:11:66:58
inet addr:172.16.8.250 Bcast:172.16.255.255 Mask:255.255.0.0
inet6 addr: fe80::20c:29ff:fe11:6658/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:80559 errors:0 dropped:0 overruns:0 frame:0
TX packets:42 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7817761 (7.4 MiB) TX bytes:5746 (5.6 KiB)
Interrupt:59 Base address:0x2080







[3]chkrootkit 을 이용한 루트킷 탐지법



# ./chkrootkit /* 메인 쉘 스크립트로 전체 실행 */
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
(이하생략)


# ./chkrootkit ls ps /* ps와 ls 파일의 변조 여부를 체크 */
ROOTDIR is `/'
Checking `ls'... not infected
Checking `ps'... not infected


# ./chkproc
You have 8 process hidden for readdir command
You have 8 process hidden for ps command


# ./chkrootkit -q /* 의심가는 파일들만 출력 */
# ./chkproc -v /* ps 명령어로 보이지 않는 프로세스를 출력 */




■ 실행 결과의 의미
INFECTED
해당 파일이 rootkit등에 의해 변조 되었음을 뜻한다.
not infected
파일이 변조되지 않았음을 뜻한다.
not tested
파일 변조 여부를 체크하지 못했음을 뜻한다.
not found
변조 여부를 체크하려는 파일을 찾지 못하였음을 뜻한다.
'..

코멘트  

이름 :      비밀번호 :
         자동등록방지
내용 :  
파일 :




금연

  글번호
이름
1 2
날짜
  175Linux 디도스 방어 조회수가 1000회 이상이네요. ^0^2014-11-08
  Linux chkrootkit 을 이용한 루트킷 탐지법 조회수가 1000회 이상이네요. ^0^2014-11-08
  173Linux 리눅스 해킹사고 분석 및 대응절차 조회수가 1000회 이상이네요. ^0^2014-11-08
  111Linux 리눅스 관리자가 알아두어야 할 50가지 코멘트가 20개 이상이네요. ^0^ 조회수가 1000회 이상이네요. ^0^2018-02-09 18:20
MelnAbsed
  74Linux 리눅스 파일관련명령어 시스템명령어 조회수가 1000회 이상이네요. ^0^2007-11-12
  73Linux 리눅스 명령어 모음 조회수가 1000회 이상이네요. ^0^2015-02-23 18:18
Carey
  67Linux mount 조회수가 1000회 이상이네요. ^0^2002-02-20
  27Linux 웹호스팅용 서버 기본셋팅 조회수가 1000회 이상이네요. ^0^2017-09-15 16:25
KuraFexy
  26Linux 네스케이프 6 설치/실행 잘 안될때....... 조회수가 1000회 이상이네요. ^0^2001-01-18
  25Linux SSH에 대해서.... 조회수가 1000회 이상이네요. ^0^2017-12-03 14:06
Philipduh
  23Linux vi 에디터 사용법 조회수가 1000회 이상이네요. ^0^2000-11-02
  22Linux 크레이지보드를 php,mysql 보드로의 변환 조회수가 1000회 이상이네요. ^0^2000-10-17
  21Linux Linux + oracle816 + apache + php4 + ... 조회수가 1000회 이상이네요. ^0^2000-10-09
  20Linux 리눅스 설정 조회수가 1000회 이상이네요. ^0^2000-10-05
  17Linux tarx 하나로 전부 풀 수 있게....... 조회수가 1000회 이상이네요. ^0^2000-10-05
 
1 2
글쓰기    목록   다음   로그인
Since 1998-2020 Chris. BSD LICENSE