apt-install새로 설치된 Ubuntu 서버 16.04.3에 chkrootkit을 설치했습니다.
chkrootkit을 처음 실행한 후 의심스러운 파일과 디렉터리가 발견되었습니다.
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
나는 3년 전에 stackexchange의 다른 사용자가 동일한 거짓 긍정을 발견하고 게시한 것을 발견했습니다.Chkrootkit은 다수의 의심스러운 파일과 디렉터리를 발견했으며 /sbin/init가 감염되었습니다..
존재하다FAQ 8번공식 chkrootkit 웹사이트에서는 chkrootkit이 특정 파일과 디렉터리를 무시한다는 사실을 알고 있기 때문에 공격자가 이 기능을 사용할 수 있기 때문에 거짓 긍정을 화이트리스트에 올릴 수 없다고 명시합니다.
이 긴 파일 및 디렉터리 목록으로 무엇을 하라고 권장하시나요? 오탐지인지 어떻게 확인하나요? 거짓 긍정인 경우 해당 파일을 원래 콘텐츠(동일한 패키지 사용 dpkg -V)와 비교할 수 있는 방법이 있습니까?
답변1
화이트리스트는 일반적으로 명백한 이유로 더 이상 사용되지 않습니다(또한 참조).chkrootkit FAQ #8).
다만, 구체적으로 문의하신 대로 언급한 방법이 있습니다(데비안 사용). chkrootkit에서 잠재적인 FP를 처리하는 방법물론, 귀하는 자신의 책임하에 평가하고 감수해야 합니다.
/usr/sbin/chkrootkit | /bin/grep -vf /usr/local/share/chkrootkit/ignore-fp.txt
어디/usr/local/share/chkrootkit/ignore-fp.txt무시할 정규식이나 파일을 저장하세요.
데비안을 사용하면 알려진 좋은 설치 파일을 확인할 수 있습니다:
/usr/bin/debsums -sa
프로필 검사("-a")를 포함하고 오류만 보고합니다 "-s"), cf데스섬 사용.
언제나 그렇듯 상식을 활용하고, 많은 시간을 투자하고, 신중하게 조사해 보세요. 이 분야에서는 주도권을 잡고 사전에 행동하는 것이 핵심입니다. 시스템 강화를 위한 모범 사례는 웹 전체에서 찾을 수 있습니다. 많은 조사를 수행하고 하나 또는 첫 번째 체크리스트로 제한하지 마십시오. 모든 것을 파악하려면 끊임없는 노력이 필요합니다.합산:이 경우 화이트리스트 등록은 좋은 방법이 아닌 것 같습니다.
화타이