rkhunter 설치

루트킷 확인을 위한 rkhunter 설치 및 사용법

 

루트킷이란 루트권한을 획득한 공격자가 심어놓은 프로그램을 숨기기 위한 목적으로 사용되는 프로그램입니다.

---------------------------------------------------
먼저 rkhunter 설치프로그램을 다운로드 하겠습니다.

 

 

# tar -xvzf rkhunter-1.4.0.tar.gz 

 

 

# cd rkhunter-1.4.0

 

# sh installer.sh  --install

설치 완료

 

설정파일은 /etc/rkhunter.conf

 

 

84번 라인 MAIL-ON-WARNING= 부분은 경고메일을 받을수 있도록 설정하는 라인 빼고는 특별히 만질것은 없습니다.

(수시로 체크하실것 아니면 주석 처리하면 됩니다.)

 

---------------------------------------------------

실행명령어는

# rkhunter --check 
또는 
# rkhunter -c --rwo  // warning메세지,비정상적인 결과만 출력
입니다.

 

시작하기 전에 rkhunter 가 사용할 DB를 생성합니다.

rkhunter --propupd

 

 

rkhunter -c --rwo 명령어로 실행해보겠습니다.

 

 

 

rootkit hunter 스캔 순서는
1.알려진 rootkit 존재 여부
2.알려진 rootkit 관련 파일 존재 여부,백도어 존재 여부, sniffer 로그 존재 여부
3./etc/rc.d/rc.sysint , /etc/xinetd.conf 파일에 의심스런 설정 추가 여부 스캔
4./bin/ps /bin/ls /bin/netstat 등 자주 변조되는 파일의 변조 여부 스캔
5.로드된 모듈 스캔
6.자주 쓰는 백도어 포트 스캔(2001,2006,2128,14856,47107,60922)
7.NIC의 promisc 여부 스캔
8.유저와 그룹 파일의 변조 여부 스캔
9./etc/rc.d/rc.local 및 rc.d/ 디렉토리 이하 여부 스캔
10. /dev내 수상한 파일 스캔
11. 특정 응용 프로그램의 패치 여부 스캔
12. ssh 보안 설정 등 기타 보안 설정 스캔

-------------------------------------------------------------------------
warning 으로 나오는 부분은 변조되었다거나.. 위험도가 높은것이므로 사용자가 따로 설정한게 아니라면
확인하여 삭제 혹은 정상파일로 대체하시면 됩니다.

체크된 내용중 warning 메세지가 출력된 부분을 살펴보겠습니다.

 

 

 

 

 

 

 

 

 

//주석을 해제해주면 yes로 돼있다고 또 경고를 줍니다. 보안상 no로 해놓고 특정 계정으로 수권한을 획득하는게 가장 좋습니다. 

 

 

 

 

 

 

 

이 외에도 수많은 warning 메세지가 있을수 있으니 구글링을 하여 삭제or복원하여 해결하면 됩니다.

----------------------------------------------------------------------------------

기타 명령어
# rkhunter --update // rkhunter 업데이트가 활발하기 때문에 주기적으로 업데이트할것