리눅스 루트킷(rootkit) 탐지 rkhunter 설치 사용방법

설치 환경 : CentOS 6.x 64비트

1. 루트킷(rootkit) 이란?

컴퓨터 소프트웨어 중에서 악의적인 것들의 모음으로써, 자신 또는 다른 소프트웨어의 존재를 가림과 동시에 허가되지 않은 컴퓨터나 소프트웨어의 영역에 접근할 수 있게 하는 용도로 설계된 것이다.

루트킷이라는 용어는 “루트”(유닉스/리눅스 시스템에서 권한을 가진 계정의 전통적인 이름)와 “kit”(툴을 구현하는 소프트웨어 구성 요소를 가리킨다.)의 합성어이다. “루트킷”이라는 용어는 악성 소프트웨어와의 연관으로 인해 부정적인 의미를 함축하고 있다.

루트킷의 설치는 자동으로 이루어지거나 공격자가 루트 권한이나 관리자 접근을 획득하였을 때 설치될 수 있다. 이 접근을 획득하는 것은 알려진 취약점(권한 확대 같은)을 공격하는것이나 암호(크래킹 또는 사회공학을 통해 획득한)를 통한 직접적인 권한의 결과다.

한 번 설치되면, 권한을 가진 접근을 유지할 뿐만 아니라 침입을 숨길 수도 있다. 중요한 점은 루트 또는 관리자 접근인데, 시스템에 대한 완전한 제어는 존재하는 소프트웨어가 수정되었을 수 있다는 것을 의미한다.

2. 리눅스 rkhunter 설치

이렇게 자신의 리눅스 서버나 pc에 루트킷(rootkit)이 설치되어 있는지 확인하는 방법은 아래와 같은 절차를 진행하면 된다.

1) 공식홈페이지

https://rootkit.nl/projects/rootkit_hunter.html

2) rkhunter다운로드

cd /usr/local/src/

wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz/download -O rkhunter-1.4.2.tar.gz

tar xvfz rkhunter-1.4.2.tar.gz

cd rkhunter-1.4.2

./installer.sh --layout /usr/local --install

3) rkhunter data 업데이트

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --propupd

4) rkhunter 설정 및 사용방법

vi /usr/local/etc/rkhunter.conf

*Linux라면 특별히 손댈것은 없으며, 아래라인 주석 해제 후, 결과 또는 경고 메일 주소만 수정 하면 된다*

MAIL-ON-WARNING=me@mydomain root@mydomain

5) 루트킷 검사 방법

/usr/local/bin/rkhunter --check

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다