Chkrootkit 설치
chkrootkit은 rootkit이라 불리는 각종 해킹도구들의 감염여부를 검사해주는 프로그램이다. 설치및 확인 방법은 아래와 같다.
user $ su
root # /usr/bin/wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
root # tar zxf chkrootkit.tar.gz
root # cd chkrootkit-0.45
Linux Machine을 정확하게 검사하기 위해 소스코드를 수정합니다. 해당 디렉토리의 chklastlog.c파일을 수정합니다. 64번 줄에 아래의 내용을 추가합니다.
#ifdef __LINUX__
#define WTMP_FILENAME "/var/log/wtmp"
#define LASTLOG_FILENAME "/var/log/lastlog"
#endif
수정을 완료하였으면, 설치 및 검사를 아래와 같이 수행합니다.
root # make sense
root # ./chkrootkit > Checked.txt
마지막 명령으로 실행한 후 생성된 Checked.txt 파일을 검토합니다. 내용중 INFECTED가 있으면 이는 감염된 것으로 판정할 수 있으며(포맷해야함)
backdoor 검색
대부분의 backdore는 /dev 아래에 두곤 합니다.(장치파일이 있는곳이어서 숨기기 용이) 만약 /dev 폴더 아래에 일반파일이 있다면 이는 backdore가 아닌지 의심해 보아야 합니다.
root # find /dev -type f -exec ls -l {} \;
Chkrootkit 설치 및 backdoor 검색