질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

chkrootkit 결과와 ssu의 결과

작성자 정보

  • 신기현 작성
  • 작성일

컨텐츠 정보

본문

안녕하세요

centos 9.0 리눅스 서버에 문제가 있어서 설치한지 3일정도 되었습니다.

이 서버에는 apm이 전부 설치되어있으나 서비스는 apache +  php 만 사용합니다.

portsentry 1.1 이 설치되어있고,  ssu가 설치되어있습니다.

그런데 아래와 같은 중요한파일점검에 문제가 있습니다. 라고 나옵니다.

이것이 해킹인지... 궁금합니다.

하단쪽에 보시면 chkrootkit 과 chkrootkit -q 의 결과도 있습니다.

chkrootkit 결과 lmk rootkit 이 설치되어있다고 하는데...  해킹이 아닌것도 같고

하옇튼 이런문제들이 궁금해서 질문드립니다.

해킹이라면 3일밖에 안되었는데.. 재설치를 해야 하는걸까요?

========================================================================

파티션 정보(/etc/fstab) 변경 :
Root 소유 SetUid 추가 발견
/var/tmp 디렉토리 모드가 변경되었습니다. (기본 : drwxrwxrwt) ==> lrwxrwxrwx
07시 00분 :  수상한 포트 점검  
07시 00분 : ** 수상한 포트 검출  
07시 01분 : ** 수상한 프로세스 발견  
portsentry
중요파일점검에 문제가 있습니다.
1011 /etc/fstab
1666 /etc/inittab
2352 /etc/rc.d/rc
20373 /etc/services
9890 /etc/sysconfig/hwconf
694 /etc/syslog.conf
66024 /sbin/ifconfig
32684 /sbin/init
4 /sbin/telinit
98880 /usr/bin/c++
9432 /usr/bin/chattr
82772 /usr/bin/crontab
52428 /usr/bin/find
98880 /usr/bin/g++
96344 /usr/bin/gcc
7836 /usr/bin/lsattr
133468 /usr/bin/make
21200 /usr/bin/passwd
17312 /usr/bin/pstree
242184 /usr/bin/ssh
52540 /usr/bin/top
11720 /usr/bin/w
206096 /usr/bin/wget
23440 /usr/bin/who
107336 /usr/sbin/lsof
21 /usr/sbin/sendmail
77296 /bin/grep
4 /bin/awk
998 /etc/fstab
1666 /etc/inittab
2352 /etc/rc.d/rc
20373 /etc/services
9890 /etc/sysconfig/hwconf
694 /etc/syslog.conf
66024 /sbin/ifconfig
32684 /sbin/init
4 /sbin/telinit
98880 /usr/bin/c++
9432 /usr/bin/chattr
82772 /usr/bin/crontab
52428 /usr/bin/find
98880 /usr/bin/g++
96344 /usr/bin/gcc
7836 /usr/bin/lsattr
133468 /usr/bin/make
21200 /usr/bin/passwd
17312 /usr/bin/pstree
242184 /usr/bin/ssh
52540 /usr/bin/top
11720 /usr/bin/w
206096 /usr/bin/wget
23440 /usr/bin/who
107336 /usr/sbin/lsof
21 /usr/sbin/sendmail
77296 /bin/grep
4 /bin/awk

 

=====================================================================

 

 

[root@khshin chkrootkit]# ./chkrootkit

Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... You have     1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/4747/fd: No such file or directory
eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted

[root@khshin chkrootkit]# ./chkrootkit -q
 
/usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist
 
INFECTED (PORTS:  1524 31337)
/proc/6272/fd: No such file or directory

 

 

관련자료

댓글 1

도리님의 댓글

  • 도리
  • 작성일
ssu의 결과는 예전버젼의 ssu인 듯 하네요.. -- 버그 입니다.
위 결과를 보시면, /etc/fstab이 변경되었기 때문에 이런 메시지...


그리고 chkrootkit은 INFECTED (PORTS:  1524 31337)
이 부분인데..
 서버에서 위 포트를 사용하는지 확인 해 보시기 바랍니다.
netstat -anp | grep LISTEN
목록

공지사항

뉴스광장

  • 현재 회원수 :  60,153 명
  • 현재 강좌수 :  36,477 개
  • 현재 접속자 :  224 명