chkrootkit 0.49 설치 및 사용법 그리고 변조파일 정상 복원

해킹당한 시스템을 점검하다가  chkrootkit 를 한번 돌려봤다.
 
우선 chkrootkit 를 다운받는다. 최신버젼이 0.49다.
 
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar xvfz chkrootkit.tar.gz
# cd chkrootkit-0.49
# make sense
# ./chkrootkit
---------------------------------------------------------------------------
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... INFECTED
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
.
.
.
---------------------------------------------------------------------------
 
실행하면 이런식으로 나타난다. 한두개도 아니고 변조된 파일 찾다가 눈깔이 빠질 정도다..
위에서는 netstat  실행파일이 변조되었다고 뜬다.
 
-----------------------------------------
not infected 정상파일
INFECTED 변조된파일    ----> 이런 메세지를  찾자..
nothing found 찾을수 없음
not tested 파일 변조 여부 체크 하지 못함.
-----------------------------------------
 
이리하여.. 간단하게 아래 명령어조합으로 찾아보자..
 
# ./chkrootkit | grep INFECTED
-----------------------------------------
Checking `netstat'... INFECTED
-----------------------------------
 
netstat 파일이 변조되었으므로 재설치를 해야한다. 이파일은 rpm으로 설치되어 있다.
 
아래와 같이 실행파일의 rpm명을 검색한다.
 
# rpm -qf `which netstat`
--------------------------
net-tools-1.60-52.fc4.2
--------------------------
 
net-tools-1.60-52.fc4.2.i386.rpm 라는 명의 rpm 이다.
 
구글가서 위의 rpm 명으로 갬색해서 다운받자.
 
# wget ftp://ftp.univie.ac.at/systems/linux/fedora/core/updates/4/i386/net-tools-1.60-52.fc4.2.i386.rpm
 
그리고 설치를 해야된다. 그러나 같은 버전을 받았기 때문에 그냥 -Uvh 로 설치하면 설치가 안된다.
깔려있다고.ㅋㅋ
 
그럼 강제설치..
 
# rpm -Uvh --force net-tools-1.60-52.fc4.2.i386.rpm
 
강제 업데이트 설치하고 나서 다시
 
# ./chkrootkit | grep INFECTED
 
아무런 메세지가 나타나지않는다.
변조된 파일 netstat 가 이제 정상복구되었다.
 
여기서는 변조된 실행파일 netstat 만 언급하였다. 이것을 응용해서 다른변조된 파일도 정상 복구 하길바란다.