루트 키트에 대해 Linux-Distro를 스캔하는 방법
2022-10-20 last update
5 minutes reading security시스템이 손상된 것 같습니까?
침입자가 설치했을 수 있는 루트 키트를 지금 확인하십시오!!!
그래서... 도대체 루트킷이 뭔가요???
루트 키트는 침입자가 시스템의 루트 계정을 손상시킨 후 자주 설치하는 프로그램 모음입니다.
이러한 프로그램은 침입자가 자신의 흔적을 정리하는 데 도움이 될 뿐만 아니라 시스템에 다시 액세스할 수 있도록 합니다.
루트 키트는 침입자가 시스템 관리자가 알지 못하는 사이에 쉽게 돌아올 수 있도록 프로세스를 실행 상태로 두는 경우가 있습니다!
해결책....
chkrootkit과 같은 스크립트가 자동으로 작업을 수행합니다.
chkrootkit V. 0.46a
Nelson Murilo [[email protected]] (주 저자)
Klaus Steding-Jessen [[email protected]] (공동 저자)
이 프로그램은 루트킷의 징후를 로컬에서 확인합니다.
chkrootkit은 http://www.chkrootkit.org/에서 구할 수 있습니다.
불법 행위는 금지됩니다!
나는 당신이 그것으로 할 수 있는 어떤 것도 책임지지 않습니다.
이 도구에는 Univ.의 DFN-CERT에서 개발한 소프트웨어가 포함되어 있습니다. 함부르크(chklastlog 및 chkwtmp) 및 Fred N. van Kempen, [[email protected]]에 의해 개발된 ifconfig의 일부입니다.
chkrootkit은 무엇입니까?
chkrootkit은 루트킷의 징후를 로컬에서 확인하는 도구입니다. 여기에는 다음이 포함됩니다.
* chkrootkit: 루트킷 수정을 위해 시스템 바이너리를 확인하는 쉘 스크립트.
* ifpromisc.c: 네트워크 인터페이스가 무차별 모드인지 확인합니다.
* chklastlog.c: 마지막 로그 삭제를 확인합니다.
* chkwtmp.c: wtmp 삭제를 확인합니다.
* check_wtmpx.c: wtmpx 삭제를 확인합니다. (Solaris만 해당)
* chkproc.c: LKM 트로이 목마의 징후를 확인합니다.
* chkdirs.c: LKM 트로이 목마의 징후를 확인합니다.
* string.c: 빠르고 더러운 문자열 교체.
* chkutmp.c: utmp 삭제를 확인합니다.
chkwtmp 및 chklastlog *시도*하여 wtmp에서 삭제된 항목 확인
및 lastlog 파일, 그러나 모든 수정 사항이 보장되지 *않습니다*
감지됩니다.
Aliens는 스니퍼 로그와 루트킷 구성 파일을 찾으려고 합니다. 그것은 본다
일부 기본 파일 위치의 경우 -- 따라서 보장되지도 않습니다.
모든 경우에 성공할 것입니다.
chkproc은/proc 항목이 ps 및 readdir에서 숨겨져 있는지 확인합니다.
시스템 호출. 이것은 LKM 트로이 목마의 표시일 수 있습니다. 당신은 할 수 있습니다
또한 -v 옵션(verbose)과 함께 이 명령을 실행합니다.
확인 ! 이론은 이제 그만... 이제 더러운 일을 해보자!
주목 !!!
시스템에 chkrootkit을 설치하지 말고 단순히 주기적으로 실행하십시오.
공격자는 단순히 설치를 찾아 자신의 존재를 감지하지 못하도록 변경할 수 있습니다.
그것을 컴파일하고 이동식 또는 읽기 전용 미디어에 넣습니다.
1 단계
Latest Source tarball (37140 bytes)을 다운로드하십시오.
쉘런에서...
2 단계
그런 다음 tarball's MD5 signature 을 확인하십시오.
쉘런에서...
3단계
쉘런에서...
4단계
chrootkit.Go를 컴파일하고 쉘에서 입력한 디렉토리로 이동합니다.
5단계
빌드된 디렉토리에서 chkrootkit을 실행하십시오.
쉘에서...
수행하는 각 테스트와 테스트 결과를 인쇄합니다.
별로 흥미롭지 않다 ???
Thank God I am not infected !!!
chrootkit은 다른 시스템에 마운트된 디스크에서도 실행할 수 있습니다.
그게 다야...
당신도 감염되지 않기를 바랍니다!!!
추신
감염되지 않았다면 디스크 사본을 만들어두는 것이 좋은 시기라고 생각합니다...
이미지로 만들 파티션에 대한 체크섬을 생성하고 셸에서 실행
디스크 사본을 만들기 위해
전체
이것은
다른 하드 디스크에 쓰기!
See, more results !
Related link...
침입자가 설치했을 수 있는 루트 키트를 지금 확인하십시오!!!
그래서... 도대체 루트킷이 뭔가요???
루트 키트는 침입자가 시스템의 루트 계정을 손상시킨 후 자주 설치하는 프로그램 모음입니다.
이러한 프로그램은 침입자가 자신의 흔적을 정리하는 데 도움이 될 뿐만 아니라 시스템에 다시 액세스할 수 있도록 합니다.
루트 키트는 침입자가 시스템 관리자가 알지 못하는 사이에 쉽게 돌아올 수 있도록 프로세스를 실행 상태로 두는 경우가 있습니다!
해결책....
chkrootkit과 같은 스크립트가 자동으로 작업을 수행합니다.
chkrootkit V. 0.46a
Nelson Murilo [[email protected]] (주 저자)
Klaus Steding-Jessen [[email protected]] (공동 저자)
이 프로그램은 루트킷의 징후를 로컬에서 확인합니다.
chkrootkit은 http://www.chkrootkit.org/에서 구할 수 있습니다.
불법 행위는 금지됩니다!
나는 당신이 그것으로 할 수 있는 어떤 것도 책임지지 않습니다.
이 도구에는 Univ.의 DFN-CERT에서 개발한 소프트웨어가 포함되어 있습니다. 함부르크(chklastlog 및 chkwtmp) 및 Fred N. van Kempen, [[email protected]]에 의해 개발된 ifconfig의 일부입니다.
chkrootkit은 무엇입니까?
chkrootkit은 루트킷의 징후를 로컬에서 확인하는 도구입니다. 여기에는 다음이 포함됩니다.
* chkrootkit: 루트킷 수정을 위해 시스템 바이너리를 확인하는 쉘 스크립트.
* ifpromisc.c: 네트워크 인터페이스가 무차별 모드인지 확인합니다.
* chklastlog.c: 마지막 로그 삭제를 확인합니다.
* chkwtmp.c: wtmp 삭제를 확인합니다.
* check_wtmpx.c: wtmpx 삭제를 확인합니다. (Solaris만 해당)
* chkproc.c: LKM 트로이 목마의 징후를 확인합니다.
* chkdirs.c: LKM 트로이 목마의 징후를 확인합니다.
* string.c: 빠르고 더러운 문자열 교체.
* chkutmp.c: utmp 삭제를 확인합니다.
chkwtmp 및 chklastlog *시도*하여 wtmp에서 삭제된 항목 확인
및 lastlog 파일, 그러나 모든 수정 사항이 보장되지 *않습니다*
감지됩니다.
Aliens는 스니퍼 로그와 루트킷 구성 파일을 찾으려고 합니다. 그것은 본다
일부 기본 파일 위치의 경우 -- 따라서 보장되지도 않습니다.
모든 경우에 성공할 것입니다.
chkproc은/proc 항목이 ps 및 readdir에서 숨겨져 있는지 확인합니다.
시스템 호출. 이것은 LKM 트로이 목마의 표시일 수 있습니다. 당신은 할 수 있습니다
또한 -v 옵션(verbose)과 함께 이 명령을 실행합니다.
확인 ! 이론은 이제 그만... 이제 더러운 일을 해보자!
주목 !!!
시스템에 chkrootkit을 설치하지 말고 단순히 주기적으로 실행하십시오.
공격자는 단순히 설치를 찾아 자신의 존재를 감지하지 못하도록 변경할 수 있습니다.
그것을 컴파일하고 이동식 또는 읽기 전용 미디어에 넣습니다.
1 단계
Latest Source tarball (37140 bytes)을 다운로드하십시오.
쉘런에서...
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
2 단계
그런 다음 tarball's MD5 signature 을 확인하십시오.
쉘런에서...
# md5sum verify chkrootkit.tar.gz
3단계
tar를 사용하여... 소스 코드의 압축을 풉니다.쉘런에서...
# tar -xzf chkrootkit.tar.gz
4단계
chrootkit.Go를 컴파일하고 쉘에서 입력한 디렉토리로 이동합니다.
# make sense
5단계
빌드된 디렉토리에서 chkrootkit을 실행하십시오.
쉘에서...
# ./chkrootkit
수행하는 각 테스트와 테스트 결과를 인쇄합니다.
ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected . . . chkutmp: nothing deleted
별로 흥미롭지 않다 ???
Thank God I am not infected !!!
chrootkit은 다른 시스템에 마운트된 디스크에서도 실행할 수 있습니다.
-r 옵션을 사용하여 파티션의 마운트 지점을 지정하기만 하면 됩니다.# ./chrootkit -r /mnt/hda2_image
그게 다야...
당신도 감염되지 않기를 바랍니다!!!
추신
감염되지 않았다면 디스크 사본을 만들어두는 것이 좋은 시기라고 생각합니다...
이미지로 만들 파티션에 대한 체크섬을 생성하고 셸에서 실행
# md5sum /dev/hdc2 > /tmp/hdc2.md5
디스크 사본을 만들기 위해
dd 명령을 사용합니다. 쉘에서...# dd if=/dev/hdc of=/tmp/hdc.img
전체
/tmp 드라이브의 복사본을 보관하려면 /dev/hdc에 충분한 공간이 필요합니다.이것은
/tmp 가 RAM 디스크가 아니어야 하고 /dev/hdc 에 저장되어서는 안 된다는 것을 의미합니다.다른 하드 디스크에 쓰기!
See, more results !
Related link...