OS

2022.03.16 16:23

루트킷(rootkit) 검사 - chrootkit

  • 비아웹 오래 전 2022.03.16 16:23 인기
  • 2,736
    0

안녕하세요

서버호스팅 비아웹입니다.

 

리눅스 서버가 해킹 당한 경우에 서버상의 프로그램이 위변조 되는 경우가 있습니다.

정상적인 파일 처럼 보이지만 백도어 기능 포함, 특정 프로그램이나 특정 IP/Port 를 숨겨주는 기능 등이 숨어 있을 수 있습니다.

 

알려진 rootkit 에 대한 검사할 수 있는 프로그램 중 chrootkit 에 대해 기록합니다.

 

1. 테스트 환경

CentOS Linux release 7.9.2009 (Core)

 

2. chrootkit 홈페이지

http://www.chkrootkit.org/

 

3. 관련 패키지 설치

# yum install wget glibc-static gcc-c++

ch01.JPG

 

4. 소스 다운로드 및 압축 해제 

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz 
# tar -zxvpf chkrootkit.tar.gz 
# cd chkrootkit-0.55/

 

5. 컴파일 

# make sense

 

6. chrootkit 이용한 rootkit 검사 

# ./chkrootkit

ch02.JPG

 

: 검사 결과 내용 

infected - 루트킷으로 변형되었음 
not infected - 루트킷의 증후를 발견하지 못했음 
not tested - 점검이 수행되지 못했음 
not found - 점검한 command가 없음

 

7. 필요시 cron 등록

# 03***root(cd /opt/chkrootkit-0.55;./chkrootkit 2>&1| mail -s "chkrootkit result" server@viaweb.co.kr)

  

감사합니다.

서버호스팅 비아웹

 

 

  • 공유링크 복사

    댓글목록

    등록된 댓글이 없습니다.