기술자료/기술운영자료
chkrootkit으로 rootkit 확인하기
에이원네트웍스
2016. 3. 20. 17:40
루트킷은 해커들이 시스템에 침입 후 다시 들어오기 위해 루트권한을 획득하려는 목적으로 설치한 백도어이다.
서버 관리자는 이 루트킷의 설치 유무를 수시로 확인해야 한다.
chkrootkit이라는 탐지툴로 확인해 보자.
1. 다운로드
다음의 사이트로 이동하여 툴을 다운로드 받는다.
http://www.chkrootkit.org
아니면 wget 명령을 이용하여 다음과 같이 다운로드 받는다.
download url : ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
2. 압축해제
3. 로그 파일 위치 확인 및 수정
chklastlog.c 파일을 확인해보면 리눅스에 대한 설정이 없다. 아래 #ifdef __LINUX__ 부터 #endif까지 넣어 준다.
4. 설정이 완료되면 다음의 명령어로 컴파일을 수행한다.
# make sense
5. 컴파일이 완료되면 다음과 같이 파일이 막 생겼다.
6. chkrootkit을 실행해서 rootkit을 탐지해 보자
# ./chkrootkit
만약 rootkit에 감염된 경우라면 not infected가 아니라 infected라는 것을 확인할 수 있다.
또한 chkrootkit은 rootkit 외에도 숨겨진
process와 Worm에 감염된 경우 또한 탐지해내며 출력되는 메시지를 통해 확인할 수 있다.