[보안] 백도어 감염여부 확인하기.

rootkit 이란 해킹을 한후 차후에 재해킹을 쉽게 할수 있도록

모아놓은 백도어들의 종합셋트라고 생각하시면 됩니다.

이러한 백도어들은 찾아 내기가 매우 어려우므로 이러한

백도어들을 체크하는 프로그램이 있어 이를 이용하여

체크하고자 합니다.

1. rootkit 체크

(1) tt.co.kr 의 /root/ 에 있는 chkrootkit.tar.gz 를 테스트할 서버로

옮긴다.

# scp chkrootkit.tar.gz root at www40.tt.co.kr:/root/

(2) 해당 서버에서 압축을 해제한다.

# tar zxvfp chkrootkit.tar.gz

(3) chkrootkit-0.23 디렉토리에서 compile 한다.

# make sense

(4) 실행한다.

# ./chkrootkit

(5) 결과를 보고

# ./chkproc -v 를 실행해 본다.

2. scan.c

(1) tt.co.kr 의 /root/ 에 있는 scan.c 를 서버로 옮긴다.

# scp scan.c root at www40.tt.co.kr:/root/

(2) 새로운 서버에서 컴파일 한다.

gcc -o scan scan.c

(3) 실행된 scan 을 system계정으로 옮긴후 실행한다.

root 로 실행하면 에러가 난다.

(4) 결과를 확인한다.

결과가 반드시 정확한 것이 아니므로 혹 감염되었다는 메시지가

나오면 흥분하지 마시고 저에게 알려주세요..

참고 :

다음과 같은 방법으로 chkproc -v 결과로 나온 pid에 대한 정보를

얻을 수 있습니다.

예)

[root@ www chkrootkit-0.30]# ./chkproc -v

PID 542: not in readdir output

PID 542: not in ps output

You have 1 process hidden for readdir command

You have 1 process hidden for ps command

[root@www chkrootkit-0.30]# cd /proc/542

[root@www 542]# ls -al

total 0

dr-xr-xr-x 3 lp lp 0 Mar 29 14:18 .

dr-xr-xr-x 85 root root 0 Mar 27 01:55 ..

-r–r–r– 1 root root 0 Mar 29 14:18 cmdline

lrwx—— 1 root root 0 Mar 29 14:18 cwd -> /

-r——– 1 root root 0 Mar 29 14:18 environ

lrwx—— 1 root root 0 Mar 29 14:18 exe -> /usr/sbin/lpd

dr-x—— 2 root root 0 Mar 29 14:18 fd

pr–r–r– 1 root root 0 Mar 29 14:18 maps

-rw——- 1 root root 0 Mar 29 14:18 mem

lrwx—— 1 root root 0 Mar 29 14:18 root -> /

-r–r–r– 1 root root 0 Mar 29 14:18 stat

-r–r–r– 1 root root 0 Mar 29 14:18 statm

-r–r–r– 1 root root 0 Mar 29 14:18 status

[root@www 542]#

위에서 exe -> /usr/sbin/lpd 부분이 프로세스의 프로그램

이름이 됩니다. 즉, /usr/sbin/lpd 가 되는거죠.

chkproc 프로그램은 /proc 디렉토리(모든 프로세스 정보를 볼 수 있는 디

렉토리)

에서 모든 가능한 pid번호(1 – 65535)에 대하여 들어가 보고,

이를 ps 결과와 비교하여 숨겨진 프로세스가 있는지 검사합니다.

이후 이상한 결과가 나오면 저(antihong@) 에게 알려주세요…