rootkit 을 탐지
- bin/ps -> /bin/.ps
- white_ps -> /bin/ps
ps 의 원본값을 보관하고 있다가 비교하여 변화된 값을 찾아내는 것
-> 파일의 변조를 감지
설치 # yum -y install aide gcc wget
1) 원본값을 보관.
/bin 디렉터리 내의 파일들의 퍼미션과 파일크기를 md5라는 표현방식으로 저장
설정파일 : /etc/aide.conf
(우리는 p, s 옵션만 사용하여 저장할 것)
설정파일 백업해놓기
# mv /etc/aide.conf /etc/aide.conf.bak
# vi /etc/aide.conf
# aide --init
[root@localhost etc]# ls -l /etc/aide.db.new
-rw------- 1 root root 22477 2019-09-25 12:35 /etc/aide.db.new
2) 원본을 변조
# mv /bin/ps /root/ps.bak
# touch /bin/ps
3) 원본값과 현재값을 비교결과 확인
비교가능한 값으로 변경
# cp /etc/aide.db.new /etc/aide.db
# aide --check
응용
# aide --check > /root/aide.txt
# crontab -e
0 6 * * * aide --check > /root/aide.txt
1 6 * * * /usr/bin/last >> /root/aide.txt
매일 아침 6시에 무결성 (파일변조) 검사결과를 파일로 저장
'INFOSEC > LINUX' 카테고리의 다른 글
| SNORT ( 2 ) - rules (0) | 2019.09.27 |
|---|---|
| SNORT (0) | 2019.09.26 |
| Backdoor Rootkit (0) | 2019.09.25 |
| Local Backdoor (0) | 2019.09.24 |
| Local Backdoor (0) | 2019.09.23 |
