chkrootkit 결과와 ssu의 결과
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 2,390 조회
- 0 추천
- 목록
본문
안녕하십니까? 홍석범입니다.
일단 netstat -lnp의 결과를 올려주시고,
hidden process라고 나온것과 관련해 ls -la /proc/pid 정보를 올려주십시오.
만약 취약한 커널이 아니라면 root 권한을 빼앗길 확률은 거의 없으므로
정확한 배포판 버전 및 커널버전도 올려주십시오..
감사합니다.
신기현 님의 글
안녕하세요
centos 9.0 리눅스 서버에 문제가 있어서 설치한지 3일정도 되었습니다.
이 서버에는 apm이 전부 설치되어있으나 서비스는 apache + php 만 사용합니다.
portsentry 1.1 이 설치되어있고, ssu가 설치되어있습니다.
그런데 아래와 같은 중요한파일점검에 문제가 있습니다. 라고 나옵니다.
이것이 해킹인지... 궁금합니다.
하단쪽에 보시면 chkrootkit 과 chkrootkit -q 의 결과도 있습니다.
chkrootkit 결과 lmk rootkit 이 설치되어있다고 하는데... 해킹이 아닌것도 같고
하옇튼 이런문제들이 궁금해서 질문드립니다.
해킹이라면 3일밖에 안되었는데.. 재설치를 해야 하는걸까요?
========================================================================
파티션 정보(/etc/fstab) 변경 :
Root 소유 SetUid 추가 발견
/var/tmp 디렉토리 모드가 변경되었습니다. (기본 : drwxrwxrwt) ==> lrwxrwxrwx
07시 00분 : 수상한 포트 점검
07시 00분 : ** 수상한 포트 검출
07시 01분 : ** 수상한 프로세스 발견
portsentry
중요파일점검에 문제가 있습니다.
1011 /etc/fstab
1666 /etc/inittab
2352 /etc/rc.d/rc
20373 /etc/services
9890 /etc/sysconfig/hwconf
694 /etc/syslog.conf
66024 /sbin/ifconfig
32684 /sbin/init
4 /sbin/telinit
98880 /usr/bin/c++
9432 /usr/bin/chattr
82772 /usr/bin/crontab
52428 /usr/bin/find
98880 /usr/bin/g++
96344 /usr/bin/gcc
7836 /usr/bin/lsattr
133468 /usr/bin/make
21200 /usr/bin/passwd
17312 /usr/bin/pstree
242184 /usr/bin/ssh
52540 /usr/bin/top
11720 /usr/bin/w
206096 /usr/bin/wget
23440 /usr/bin/who
107336 /usr/sbin/lsof
21 /usr/sbin/sendmail
77296 /bin/grep
4 /bin/awk
998 /etc/fstab
1666 /etc/inittab
2352 /etc/rc.d/rc
20373 /etc/services
9890 /etc/sysconfig/hwconf
694 /etc/syslog.conf
66024 /sbin/ifconfig
32684 /sbin/init
4 /sbin/telinit
98880 /usr/bin/c++
9432 /usr/bin/chattr
82772 /usr/bin/crontab
52428 /usr/bin/find
98880 /usr/bin/g++
96344 /usr/bin/gcc
7836 /usr/bin/lsattr
133468 /usr/bin/make
21200 /usr/bin/passwd
17312 /usr/bin/pstree
242184 /usr/bin/ssh
52540 /usr/bin/top
11720 /usr/bin/w
206096 /usr/bin/wget
23440 /usr/bin/who
107336 /usr/sbin/lsof
21 /usr/sbin/sendmail
77296 /bin/grep
4 /bin/awk
=====================================================================
[root@khshin chkrootkit]# ./chkrootkit
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/4747/fd: No such file or directory
eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
[root@khshin chkrootkit]# ./chkrootkit -q
/usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist
INFECTED (PORTS: 1524 31337)
/proc/6272/fd: No such file or directory
관련자료
-
이전
-
다음
