본문 바로가기
SW/서버보안

해킹 의심해보기

by bigju 2021. 11. 11.
반응형


Chrootkit
rootkit 탐지를 위한 도구로 네트워크 인터페이스의 promisc 모드이다

lastlog/wtmp 로그파일의 삭제 여부 등을 탐지하며, lrk5의 설치 유무에 대해서 검사한다.

 

ftp://ftp.pangeia.com.br/pub/seg/pac 에서 다운 받을 수 있다. 

wget  ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz


tar xfz chkrootkit.tar.gz 

cd  chkrootkit-0.55/

yum -y install glibc*

make sense

./chkrootkit



infected : 루트킷으로 변형되었음
not infected : 어떤 루트킷의 증후를 발견하지 못했다.
Not tested : 점검이 수행되지 못했다.
Not found : 점검한 command가 없을 때

 

 

 

 

 

chkrootkit.tar.gz
0.04MB

 

 



rpm -Va

패키지들을 검증해서 패키지 변조여부를 확인할 수 있다.


# find /dev -type f

# find /dev -type f
/dev/MAKEDEV
/dev/MAKEDEV 등과 같이 device를 관리하고자 하는 파일 이외의 것이 검색되면 일단 의심해봐야 합니다.


. /tmp

tmp 디렉토리에 알수 없는 소유권자와 실행파일들이 있으면 의심을 해볼 필요가 있다.
ls -al /tmp 



 lsattr 명령어

# /usr/bin/lsattr /bin 
# /usr/bin/lsattr /sbin
# /usr/bin/lsattr /usr/bin
# /usr/bin/lsattr /usr/sbin

 

관리자가 특별하게 속성이 없다면

-> /bin/ls 형식으로 나타난다.

 




 ifconfig 명령

크래커가 설치한 rootkit에 의해 ifconfig 파일까지도 변조 될 가능성도 있다.

Ifconfig 명령 결과 다음과 같이 PROMISC 모드로 나타나는 경우 해당서버에서 스니퍼가 돌고 있다고 의심해봐야한다 .

 /sbin/ifconfig
inet addr: xxx.xxx.xxx.xxx Bcast: xxx.xxx.xxx.xxx Mask: 255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST


netstat 명령

# /bin/netstat -an | grep LISTEN
tcp 0 0 127.0.0.1:8111 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:88196 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
위와같은 명령으로 서버에 열린 포트를 확인하여 의심가는 포트가 있다면 포트를 물고 있는 데몬을 찾아 봅니다.



Big Ju
반응형

댓글

메인으로가기


    

Big Ju

IT Engineer


항상 답을 위해 노력하는

엔지니어입니다.

 

 

    


 UP!