chkrootkit으로 rootkit 확인하기

에이원네트웍스 2016. 3. 20. 17:40

루트킷은 해커들이 시스템에 침입 후 다시 들어오기 위해 루트권한을 획득하려는 목적으로 설치한 백도어이다.
서버 관리자는 이 루트킷의 설치 유무를 수시로 확인해야 한다.
chkrootkit이라는 탐지툴로 확인해 보자.

1. 다운로드

다음의 사이트로 이동하여 툴을 다운로드 받는다.

http://www.chkrootkit.org

아니면 wget 명령을 이용하여 다음과 같이 다운로드 받는다.

그림입니다.
원본 그림의 이름: mem00002274004a.tmp
원본 그림의 크기: 가로 550pixel, 세로 202pixel

download url : ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

2. 압축해제

그림입니다.
원본 그림의 이름: mem00002274004b.tmp
원본 그림의 크기: 가로 392pixel, 세로 275pixel

3. 로그 파일 위치 확인 및 수정

chklastlog.c 파일을 확인해보면 리눅스에 대한 설정이 없다. 아래 #ifdef __LINUX__ 부터 #endif까지 넣어 준다.

그림입니다.
원본 그림의 이름: mem00002274004c.tmp
원본 그림의 크기: 가로 326pixel, 세로 207pixel

4. 설정이 완료되면 다음의 명령어로 컴파일을 수행한다.

# make sense

그림입니다.
원본 그림의 이름: mem00002274004d.tmp
원본 그림의 크기: 가로 550pixel, 세로 169pixel

5. 컴파일이 완료되면 다음과 같이 파일이 막 생겼다.

그림입니다.
원본 그림의 이름: mem00002274004e.tmp
원본 그림의 크기: 가로 359pixel, 세로 422pixel

6. chkrootkit을 실행해서 rootkit을 탐지해 보자

# ./chkrootkit

그림입니다.
원본 그림의 이름: mem00002274004f.tmp
원본 그림의 크기: 가로 436pixel, 세로 393pixel
만약 rootkit에 감염된 경우라면 not infected가 아니라 infected라는 것을 확인할 수 있다.
또한 chkrootkit은 rootkit 외에도 숨겨진

process와 Worm에 감염된 경우 또한 탐지해내며 출력되는 메시지를 통해 확인할 수 있다.