Chkrootkit 설치

chkrootkit은 rootkit이라 불리는 각종 해킹도구들의 감염여부를 검사해주는 프로그램이다. 설치및 확인 방법은 아래와 같다.
user $ su
root # /usr/bin/wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
root # tar zxf chkrootkit.tar.gz
root # cd chkrootkit-0.45

Linux Machine을 정확하게 검사하기 위해 소스코드를 수정합니다. 해당 디렉토리의 chklastlog.c파일을 수정합니다. 64번 줄에 아래의 내용을 추가합니다.


 #ifdef __LINUX__
#define WTMP_FILENAME "/var/log/wtmp"
#define LASTLOG_FILENAME "/var/log/lastlog"
#endif

수정을 완료하였으면, 설치 및 검사를 아래와 같이 수행합니다.


root # make sense
root # ./chkrootkit > Checked.txt

마지막 명령으로 실행한 후 생성된 Checked.txt 파일을 검토합니다. 내용중 INFECTED가 있으면 이는 감염된 것으로 판정할 수 있으며(포맷해야함)



backdoor 검색


대부분의 backdore는 /dev 아래에 두곤 합니다.(장치파일이 있는곳이어서 숨기기 용이) 만약 /dev 폴더 아래에 일반파일이 있다면 이는 backdore가 아닌지 의심해 보아야 합니다.


 root # find /dev -type f -exec ls -l {} \; 
위 명령은 /dev 아래에 있는 일반파일을 검색하는 것입니다. 결과 중 MAKEDEV 외의 다른 파일이 있으면 일단 의심해 볼 필요가 있습니다.

Chkrootkit 설치 및 backdoor 검색

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다