답변:
일반적으로 chkrootkit 과 같은 도구를 사용하여 로컬 검사를 제안 하지만 검사를 실행하는 유일한 방법이 원격으로 수행하는 경우 Rootkit Hunter를 대신 사용 하는 것이 좋습니다 .
Rookit Hunter는 다음과 같은 테스트를 실행하여 루트킷 및 기타 활동을 확인합니다 ( 자세한 내용 은 프로젝트 정보 참조).
다른 사람들이 말했듯이 서비스를 무단 변경하지 않았는지 확인하는 유일한 방법은 서비스를 다시 작성하는 것입니다. 이러한 도구는 잘 작동하지만 100 % 성공을 보장하는 것은 아닙니다.
나는이 대답이 당신이 듣고 싶은 것이 아니라는 것을 알고 있지만 여기서 우리는 간다. 시스템을 깨끗하게 유지하는 가장 좋은 방법은 시스템을 검사하여 서버를 지우고 다시 작성하는 것입니다. 나는 다음을 할 것이다 :
다음은 아직 읽지 않은 경우 읽을 수있는 자료입니다.
[링크 텍스트] [1] 링크 텍스트 링크 텍스트 링크 텍스트
[1] : http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 "리눅스 루트킷 초보자"
RKhunter, Tripwire 등은 훌륭하지만 실제로 사건 전에 설치 한 경우에만 이점이 있습니다. 이는 키 파일이 변경되었는지 여부를 감지하는 데 유용하기 때문입니다. 지금 RKHunter를 설치하고 실행하면 많은 루트킷이 포함되어 있는지 감지하지만 공격자가 OS 또는 사용하는 응용 프로그램에서 연 백도어는 감지하지 않습니다.
예를 들어 컴퓨터에 몰래 들어가서 새 사용자를 만들고 SSH 및 sudo 권한을 부여한 다음 합법적으로 보이는 구성을 그대로두고 루트킷을 남기지 않고 정리 한 다음 나중에 다시 와서 악을 저지를 수 있습니다.
가장 좋은 방법은 어떤 포트가 서비스를 수신하는지 확인한 다음 모든 서비스의 구성을보고 모두 합법적인지 확인하는 것입니다. 그런 다음 방화벽 구성을 확인하고 필요하지 않은 포트를 인바운드 및 아웃 바운드로 잠그십시오. 그런 다음 RKHunter 등을 설치하여 일부 script-kiddie가 루트 키트를 엉망으로 만들 었는지 확인하십시오.
솔직히 말해서, 컴퓨터가 손상되지 않았 음을 확실히하는 것보다 JJ가 제안하고 재 구축 한 작업을 수행하는 것이 아마도 덜 일 것입니다. OS 및 구성이 아니라 귀중한 데이터입니다 (설정하는 데 소요되는 시간 제외).
당신보다 똑똑한 사람에 의해 금이 간 것이 확실하지 않을 것입니다.
실행중인 시스템이 손상되었는지 확인하는 가장 효과적인 방법은 Second Look 을 사용하는 것 입니다. 커널과 모든 실행중인 소프트웨어를 메모리에서 확인하여 배포 공급 업체가 제공 한 것과 일치하는지 확인합니다. 이것은 알려진 특정 감염의 인공물을 찾는 rkhunter, chkrootkit 등보다 훨씬 나은 접근 방법 입니다. Second Look은 운영 체제의 무결성에 대한 가정을하지 않으므로 사고 전에 사용하거나 설치하지 않아도됩니다.
(면책 조항 : 저는 Second Look의 수석 개발자입니다.)