반응형

갑자기 개발자분이 특정 IP 대역에서

 

무차별 웹 페이지 검색이 일어난다고 알려주셨네요

 

응?

 

Tomcat 상에서는 server.xml 파일 내역을 통해

 

특정 여러 IP들을 막을수 있습니다.

 

아래 예제는 111.222.111.222 IP와 111.222.111.223 IP를 웹 접속시 403 에러를 발생시켜 접근 금지시키는 설정입니다.

(IP 사이에 . 앞에 \를 붙이지 않아도 동작 하기는 합니다만, 정식 설정 페이지에서는 \를 붙이는 것을 가이드함)

 

관련 Apache 페이지 : http://tomcat.apache.org/tomcat-9.0-doc/config/valve.html

 

<Context path="" docBase="/" reloadable="true">

   <Valve className="org.apache.catalina.valves.RemoteAddrValve" deny="111\.222\.111\.222|111\.222\.111\.223" />

</Context>

 

하는 김에 서버 자체에 대한 접근을 막는것도 추가를 하였습니다.

 

우리 서버는 소중하니까요!

 

다만, 유동 IP에는 위험할 수는 있습니다.

(제 IP가 바뀌니까요!)

 

/etc/hosts.deny

 

sshd:ALL
mysqld:ALL

 

아래는 회사가 11.73.xxx.xxx 대역대에 있다는 가정하에 작성합니다.

 

(참고 : http://www.findip.kr/  사이트에 방문하면 외부에서 보여지는 (NAT 설정 등....) IP 주소를 확인 가능합니다.)

 

/etc/hosts.allow

sshd:11.73.
mysqld:11.73.

 

모두 마쳤으면

 

아래와 같이 서비스를 재시작 합니다.

 

# service mysqld restart

# service sshd restart

반응형
반응형

해커그룹 어노니머스, 해킹 전용 OS 공개 

뭐... 나중에 연구해봐야지.. 하하하

관련기사 :  http://www.bloter.net/archives/101051 

다운로드 주소 :

http://anonymous-os.tumblr.com/download

 
반응형

'보안' 카테고리의 다른 글

보안 교육 3일 교육 내용  (0) 2014.05.23
시큐어 코딩 점검 툴  (0) 2013.05.10
웹 어플리케이션 보안 가이드 2010  (0) 2012.01.11
[G-PIN] 공공아이핀 설치하기  (0) 2011.08.09
보안 관련 사이트  (0) 2010.11.05
반응형

cooxietoolbar : cooxie 송수신 정보를 수정 프로그램
burp suite : 웹페이지 송수신 데이터 조작 프로그램
sql-gate : DB 관련 프로그램
반응형
반응형

출처 : http://isecure.tistory.com/20
Burp Suite

1. 개요

1) Burp suite 는 web application 을 공격하기 위한 통합 플랫폼/local proxy program

2) Web application 의 분석 , 스캔 (취약점 파악)이 가능

3) Linux , Windows 모두 사용 가능

4) 최근에는 취약점 진단 툴로 많이 사용(웹 취약점 진단 도구)

2. 설치 및 실행

1) Burp suite 를 실행시키기 위해서는 JVM(Java Virtual Machine) 이 필요하므로 자신의

시스템에 설치되어 있는지 확인 (없으면 다운로드)

- cmd 창에서 java 나 java -version 을 입력하고 엔터

* java 라고 입력했을 경우 java 명령어 사용법이나 옵션들이 출력 또는

java -version 을 입력하면 설치한 jre 나 jdk 의 버전이 출력

- JVM 이 없을 경우 다운로드

* Burp suite 를 실행만 시킬 목적이라면 JRE 다운로드

* 확장 plug 를 사용하기 위해 컴파일도 할 목적이라면 JDK 를 다운로드

(Burp Suite 는 Java program 임)

2) Burp suite 다운로드

http://portswigger.net/suite/download.html 또는

http://www.darknet.org.uk/2007/01/burp-proxy-burp-suite-attacking-web-applications/

3) 설치

- 압축 파일일 경우 압축을 풀면 suite 배치 파일이 있다.(suite.bat)

- suite.bat 을 더블 클릭하거나 cmd 창에서 java -jar -Xmx512m burpsuite_v1.2.01.jar 입력

3.기능

1) proxy : end browser(burp suite 를 사용하는 client 측) 와 target web application

(공격/테스트할 웹 사이트) 사이에서 HTTP/HTTPS 를 가로채는(중계하는) proxy server

2) spider : Web application 의 내용(컨텐츠나 기능 등) 을 목록화(열거)해서 보여줌

3) scanner : Professional 버전에서만 지원되는 기능으로 web application 의 보안 취약점을

찾아주는 기능

4) intruder : Web application 에 대해 식별자(identifier) 목록화 , 유용한 데이터 수집 , 일반적인

취약점 수집과 같은 커스터마이즈된 공격을 하도록 설정할 수 있는 기능

5) repeater : 수동으로 조작하고 , HTTP request 재발행 , application 의 response 분석하는 기능

6) sequencer : application 의 session token 이나 다른 중요 data 에 대해 임의로 quality

분석하는 기능

7) decoder : Web application 의 data 를 encoding , decoding 하는 기능

8) comparer : 어떤 두 개의 데이터( 보통은 request 와 response 쌍을 의미) 의 "diff" 를 수행하기

위한 기능

(Burp suite 의 proxy 설정은 아래 Burp proxy 참고)

자세한 사항은 영문이지만 http://portswigger.net/suite/help.html 를 참고

Burp Proxy

1.개요

1) Burp Proxy는 web application 을 공격 또는 테스트하기 위한 대화형 HTTP/S 프록시 서버

2) Burp Proxy는 end browser 와 target web server 사이의 중간자로써 작동하며 양방향(end

browser 에서 server 로 , server 에서 end browser 로) 지나가는 raw traffic 을 가로채거나

검사, 수정 가능

3) Burp Proxy으로 web server 에서 전송된 data , 중요 파라미터를 모니터링하고 조작하여

application 취약점을 발견 가능

4) 다양한 악의적인 방법으로 browser 의 요청(request) 를 수정함으로써 공격 가능

(예 : SQL 삽입 공격 , cookie 변조 , 권한 획득 , session hijacking , 디렉토리 접근 ,

buffer overflow 등)

2.특징

1) 완전한 HTTP/HTTPS proxy server

2) 파라미터,헤더,다양한 미디어 컨텐츠 ,hex 편집 등 모든 요청(request)과 응답(response)에 대한

상세 분석 및 반환

3) 모든 요청 , 수정 , 응답에 대한 완전한 history 제공

(모든 요청을 조작할 수 있도록 browser 에서 보낸 모든 요청, 응답에 대한 완전한 history 유지)

4) Burp suite 내 다른 tools 와 완전한 통합 (intruder , spider , scanner 등)

5) downstream proxy server ,web server 인증 , NTLM(Windows NT LAN Manager) 인증 ,

Digest 인증 지원

6) HTTP 요청과 응답의 정규화 기반의 조작을 자동화

7) SSL 지원

8) HTTPS traffic 을 clean-text 로 보거나 수정 가능

9) Linux / Windows 에서 실행 가능

10) Burp Proxy 는 Burp Suite 의 일부분

3.Burp Proxy 사용

1) Burp Proxy 는 기본적으로 loopback 인터페이스 , 8080 포트 사용

2) Burp Proxy 의 작동을 위해 browser 에서 proxy server 를 127.0.0.1 , 포트를 8080 으로 설정

- Browser 메뉴 중 "도구" 선택

- "인터넷 옵션" 선택

- "연결" 탭 선택 후 "LAN 설정" 버튼 클릭 (아래 스샷 참고)

- 아래와 같이 프록시 서버 설정하고 "확인"

3) Burp suite 실행

4.기능

1) Intercept 탭

- intercept 탭은 browser 의 요청과 server 의 응답을 보여주고 수정하기 위해 사용

* "proxy" 탭 클릭

* "intercept is off" 일 경우 클릭해서 "intercept is on" 으로 설정

* web browser 실행(URL 을 입력해서 페이지 요청하기)

* Burp Proxy 가 browser 와 web server (또는 application) 사이에서 request 와 response를

intercept 하고 있으므로 다음 단계(다음 페이지)로 진행하기 위해서 forward 버튼을 클릭

(intercept 한 메시지를 버리려면 drop 버튼 클릭)

* raw : plain text 형식으로 표시.text pane 하단부에 정규식 기반(regex : regular expression)

탐색과 중요 메시지를 포함하고 있는 string 이 표시

(아래는 모 사이트에 로그인할 때 intercept 하고 있는 정보)

* params : parameter(name 과 value 쌍으로 구성된 URL Query string , Cookie header ,

message body 등) 를 포함하고 있는 request 출력

* headers : HTTP header 정보를 name 과 value 쌍으로 출력

(아래 텍스트박스에 intercept 한 정보 중에 검색하고자 하는 것을 입력하면 자동 매칭)

* hex : raw binary data 를 보여주고, 편집 가능(편집할 경우에는 hex 에디터를 사용)

2) action

- 다양한 action 을 수행하기 위해 사용하는 기능

- text pane 에서 마우스 우클릭 또는 action 버튼을 클릭

text pane 에서 마우스 우클릭했을 경우

action 버튼 클릭했을 경우

3) send to XXX : 메시지 또는 메시지 일부를 공격/분석하기 위해 Burp Suite 의 다른 tool 로 송신 가능

4) change request method : HTTP 메소드 변경 가능

(자동으로 GET -> POST , POST -> GET 으로 변환)

change request method 실행 전

change request method 실행 후



반응형
반응형


원문 : http://blog.pages.kr/518

/etc/shadow

username:passwd:lastchg:min:max:warn:inactive:expire

1) username : 2자에서 8자의 문자로 구성되며 숫자와 조합할 수 있다. 주의 할것은 username에는 underline 과 space 문자는 사용될 수 없다.
2) passwd :  암호는 암호화 되어 들어간다.
3) lastchg : 1970년 1월 1일 부터 마지막으로 암호를 수정한 날짜까지의 날수
4) min : 암호의 수정을 해야 하는 가장 적은 날 수 범위
5) max : 암호의 수정을 해야 하는 가장 많은 날 수 범위
6) warm : 암호를 바꿔야 한다는 경고 메시지를 몇일 전에 user에게 알려 주는 날수의 범위
7) inactive : 사용자 계정이 닫히기 전 활성화 할 수 있는 날 수 
8) expire : 사용자 계정이 만료될 때까지의 정확한 날짜 수


여기서 max와 wam 필드에 알맞은 수를 넣으면..
ex)  user1:password:11254:1:2:1:::
이러면 암호는 1일 전에 바꿀 수 없으며 반듯이 2일 전에는 바꿔야 한다는 뜻이고 1일 전부터 2일 까지 경고 메시지를 user에게 보내주라는 뜻입니다.
메시지에 대한 내용은
- 로그인을 하면 
     Your password will expore in 2 days"
- 패스워드를 1일 전에 바꾸려고 하면
     "Passwd(SYSTEM):Sorry:less than 1 day since the last change (권한이 거부됨)
- 2일이 지나서 로그인을 하면
     "Choose a new password"
     "Enterlogin password"
     "new password"


- 존더리퍼 - 

존더리퍼는 Solar Designer가 개발한 Unix 계열 password crack tool 이다..
무료 도구이며, UNIX 계열 크래킹 도구 이지만 DOS, Win9x,nt 200 등의 플랫폼도 지원한다.

속도를 높이기 위해 Intel MMX 기술이나 AMD K6 프로세서의 특수기능들을 이용한 최적화된 코드를 집어 넣기도 하였다.

http://www.openwall.com/john/ 에서 개발버전, 안정버전 , linux용 windows 용 등을 다운 받을 수 있다고한다.


2. 패스워드 파일

존더리퍼를 이용하려면 리눅스의 /etc/shadow 와 같은 패스워드 파일이 있어야 한다. 
/etc/shadow 파일의 일부를 보면 다음과 같이 생겼음을 알 수 있다.

level9:$1$vkY6sSlG$6RyUXtNMEVGsfY7Xf0wps.:11040:0:99999:7:-1:-1:134549524
(해커스쿨 레벨8의 레벨9의 패스워드)

콜론(:)으로 각 필드를 구별해주며 색칠된 부분이 레벨9의 패스워드가 암호화된 부분이다.
바로 이부분을 존더리퍼가 해독하여 패스워드를 보여주는것이다.

3. 크래킹 과정( win 용)

리눅스에서 얻어낸 shadow 파일을 윈도우즈로 복사해 존더 리퍼의 압축을 해제한 폴더 안의 run에 넣는다.
command창을 실행 시킨 후 shadow 파일을 윈도우즈로 복사해 존더리퍼의 압축을 해제한 폴더 안의 run 폴 
 더에 넣는다. 

ex)
c:\jojn1701\run> john-mmx pass.txt
c:\jojn1701\run> john-mmx -showpass.txt

-------------------------------------------------------------------------------------------

 출처 : http://tmdgus.tistory.com/143

 

 

-------------------------------------------------------------------------------------------

아주아주 유명한 Password Crack Tool을 소개하겠다.

 

바로 "존 더 리퍼(John the Ripper  Copyright (c) 1996-98 by Solar Designer)" 다.

 

존 더 리퍼는 Unix 계열의 시스템에서 사용자 계정의 Password를 암호화하여 저장한 "Shadow" 파일을 크랙하는데 주로 이용되었는데, 요즘에는 Windows 계열의 사용자 계정 Password를 크랙 하는데도 이용한다.

 

Unix 계열 시스템의 shadow 파일을 살짝 들여다 보면 아래와 같은 문자들이 나열되어 있다.

 


root:EMrs1Kz5cQ0/A:12405::::::
daemon:NP:6445::::::
listen:*LK*:::::::
nobody:NP:6445::::::
noaccess:NP:6445::::::
nobody4:NP:6445::::::
YeChan:6J8Cp/wjud.Ws:12405::::::
webservd:*LK*:::::::
ywson:*LK*:::::::
iscan:*LK*:::::::
weblogic:V0.N.LSc7E1B6:12611::::::


 

각 필드의 구분은 콜론(:)으로 되어 있고 계정이름, UID, PID, Password, Home Directory 등등.. 맨 앞의 영문이 계정이름(ID)이고 바로 다음에 나오는 요상한 문자열이 암호화된 Password 다. John은 바로 이 암호화된 스트링(문자열)을 해독하여 Password가 무엇인지를 보여준다.

 

Unix에서는 Shadow 파일을 이용하기 때문에 그냥 john 명령어만 사용하면 끝이다. 그런데 윈도우시스템은 조금 다르다. Shadow 파일같은 그런게 없다.

 

Windows 시스템은 PWDump 라는 프로그램을 이용하여 Unix의 Shadow 파일과 같은 형식으로 만들어줘야 한다.

 

사용법은 아주 간단하다.

 


C:\>pwdump3  211.xxx.xxx.xxx


 

이게 끝이다. 그러면 위의 그림과 같은 메시지가 뜨면서 Unix의 Shadow 파일 형식으로 가져온다.

 

명령어 끝에 리다이렉션 ">" 을 사용하여 원하는 파일명으로 만들어주면 훨씬 편하겠다.

 


C:\>pwdump3  211.xxx.xxx.xxx  >  PWD.txt


 

PWDump 프로그램을 이용하여 만든 파일을 열어보면 아래와 같은 문자열이 보인다.

 


GuaRDiaN:500:NO PASSWORD*********************:F1E37A8123F967125C3A8CE7E382AC0E:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
TEST:1006:B757BF5C0D87772FAAD3B435B51404EE:7CE21F17C0AEE7FB9CEBA532D0546AD6:::


 

자세히 보면 Unix의 Shadow 파일과 같은 형식이다. 콜론(:)으로 구분되어 있다.

역시 맨 앞이 계정이름(ID)이고 그다음이 UID, 그리고 암호화된 Password 이다.

 

그런데 암호화된 Password가 상당히 길다. 앞에 32자, 뒤에 32자로 총 64글자로 되어 있다.

 


TEST:1006:B757BF5C0D87772FAAD3B435B51404EE:7CE21F17C0AEE7FB9CEBA532D0546AD6:::


 

Unix는 8글자의 계정암호를 기본으로 제공하고, Windows 는 14글자의 계정암호를 제공한다.

(그런데 테스트를 해 본 결과, Windows에서는 암호 길이가 제한되어 있지 않았다!! 필자는 96글자의 암호를 사용했었다-_-; 아마도 암호화할 수 있는 길이가 14글자인가 보다..음)

 

아무튼 그건 그렇고. 여기서 주목해야 할것이 두가지가 있다.

 

먼저, 위의 암호화된 문자열을 보자. 콜론으로 구분해서 두 그룹이 있는데 그중에 앞의 그룹을 잘보면, 17번째 ~ 32번째 문자가 AAD3B435B51404EE 이렇게 되어 있다.

 

만일 이렇게 17번째 ~ 32번째 문자가 위와 같이 나와있다면, 그 계정의 암호길이는 8글자 이하라는 뜻이다!!

 

또한 "NO PASSWORD" 는 물론 암호가 없다는 뜻이다. 그런데 잼있는것이 있다.

 

위의 계정들은 필자가 사용하는 컴퓨터의 계정들인데 GuaRDiaN 계정이 바로 최고관리자 계정, 즉 필자가 사용하는 계정이고 암호가 분명히 설정되어 있다! 그런데도 NO PASSWORD 라고 찍혀있다. 어찌된 걸까?

 

Windows 는 최대 14글자의 계정암호를 제공한다고 말했었다. 그러나 14글자가 넘어 버리면, 위와 같이 NO PASSWORD 라고 나온다. 때문에 John The Ripper는 아에 크랙을 시도하지도 않고 그냥 넘겨버린다. 보안상 아주 좋다. ㅎ.

 

암호는 양쪽 필드에 전부 NO PASSWORD 라고 되어 있어야만 실제로 암호가 없는 것이다.

 

이제 John The Ripper 를 돌려서 암호를 알아내보자.

 

역시 명령어도 아주 쉽다.

 


C:\>john  PWD.txt


 

뒤의 파일은 Unix의 Shadow 파일이나 Windows의 PWDump 파일을 입력하면 된다.

위의 명령어를 입력하면 그림처럼 아무것도 보이지는 않는다. 만일 암호 크랙이 어디까지 진행되는지 보고 싶다면 아무 키나 누르면 된다.

 

 

키를 누를때 마다 위의 메시지를 뿌려준다. trying: 이라는 부분이 문자열을 어디까지 조합하고 있는지 알려주는 부분이다.

 


C:\>john  -show  PWD.txt


 

-show 옵션은 현재까지 크랙된 Password를 보여주는 옵션이다. 역시 리다이렉션을 이용하여 파일로 저장하면 되겠다.

 


C:\>john  -show  PWD.txt  >  PWD_Crack.txt


 

 

위는 -show 옵션으로 크랙 결과를 본 것이다.

 

TEST 계정의 암호가 1234 라고 알려주고 있다. 뒤의 1006 은 위에서 말한 UID 이다. 헷갈리지 말자.

Guardian 계정은 NO PASSWORD라고 되어 있어서 아에 크랙을 시도하지도 않았다. Guardian 계정의 암호는 21글자이다.

 

 

암호가 길면 길수록, 특수문자 및 숫자 조합이 많으면 많을 수록 john The Ripper의 크랙 시간은 오래 걸린다. 그러나 언젠가는 크랙되기 때문에 안심할 수가 없다.

 

단 몇가지의 설정으로 크랙을 예방할 수 있다. Windows 에서는 특수문자를 반드시 포함시키고 15글자 이상의 암호를 사용하자. 자신이 좋아하는 노래가사의 일부분이나, 시 어구 등의 외우기 쉬운 문장을 암호로 사용하면 아주 좋다. 그리고 Windows 에서 PWDump 가 성공하려면 ADMIN$가 공유되어 있어야 하기 때문에 이 ADMIN$ 공유를 삭제해 주면 안전해진다. (공유 삭제 방법은 [Windows] - 폴더 공유 보안 설정 ① 을 참고하자.)

 

Unix에서는 Shadow 파일의 권한을 400 으로 하면 되겠다.

 

-------------------------------------------------------------------------------------------


출처 : http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=10302&docId=68400630&qb=66as64iF7IqkIHNoYWRvdw==&enc=utf8&section=kin&rank=1&search_sort=0&spq=0&pid=gmRkxz331xosssl1zRsssv--232164&sid=ThUR3ffpFE4AADJ-JLk

 /etc/shadow와 존더리퍼(John the Ripper)|작성자 길땡

반응형

'Private' 카테고리의 다른 글

2012 피셔 프라이스 뉴 러닝홈  (0) 2011.11.16
OPENSSL 패스워드 변경  (0) 2011.10.20
ssl crack  (0) 2011.09.27
Aircrack-ng is an 802.11 WEP and WPA/WPA2-PSK key cracking program.  (1) 2011.09.09
퇴직 연금  (0) 2011.01.11
반응형


!! 바이러스 백신들은 모두 종료한후 설치해야 함 !

데몬 로딩 -> setup 더블 클릭 -> install 클릭 -> i accept 체크 및  next 클릭 -> next 클릭 ->
finish 클릭 -> 할리온 vst 인스톨 -> i accept 체크 및 next 클릭 -> next ->  install 클릭 ->
finish 클릭 -> install 창이 나오면 install 클릭 -> finish 클릭 ->
install 나오면 같은방법으노 클릭 -> finish 클릭 -> cubase update 화면 -> update 클릭 ->
ok 클릭 -> 동글이 설치 화면 next 클릭 -> install  클릭  설치 -> finish 클릭 ->
검은 화면 뜰때 아무키나 누름 -> 인증 -> 큐베이스 첫화면에서 cancel 클릭 ->
레지스트리 창 뜸 -> Already registred 클릭
 -> 즐겁게 큐베이스 함 ^_^

반응형

'UTILITY' 카테고리의 다른 글

IBM 자바 다운로드 주소  (0) 2011.12.05
FogBugZ  (0) 2011.11.17
handone new 핸드온 새로운 ..  (0) 2011.08.19
ERD 관련 프로그램 들...  (0) 2011.08.19
registry first aid platinum v 8.1  (1) 2011.08.08
반응형
반응형

'유용한 링크 모음' 카테고리의 다른 글

무료 QR 코드 생성 사이트  (0) 2020.02.07
공인인증서 관련 개발사이트  (0) 2011.09.01
할인 쿠폰 사이트  (0) 2010.08.27
드로잉 사이트  (0) 2010.02.08
반응형

몇일전 NAT를 걸어놨던 외부 IP로 부터 리눅스 시스템이 해킹을 당했다 -_-ㅋ

아놔....

무슨 광고 사이트가 뜨고 침입한 녀석 IP까지 찾았다...

외국 IP이라... 하앍....

오라클 리스너 설정 변경, apache 웹 시스템 적용 등

알수 없는 짓들만 실컷(?) 하고 나갔다....

그래서 간만에 rkhunter를 사용하여 점검중에 있다.

홈페이지 : http://www.rootkit.nl/projects/rootkit_hunter.html
다운로드 : http://sourceforge.net/projects/rkhunter/


* 지원 OS 버젼들... 참고로 내 리눅스는 centos 5.3이었다.

 Supported operating systems
Supported:
- Most Linux distributions
- Most *BSD distributions

Currently unsupported:
- NetBSD

Tested on:
- AIX 4.1.5 / 4.3.3
- ALT Linux
- Aurora Linux
- CentOS 3.1 / 4.0
- Conectiva Linux 6.0
- Debian 3.x
- FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10
- FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3
- Fedora Core 1 / Core 2 / Core 3
- Gentoo 1.4, 2004.0, 2004.1
- Macintosh OS 10.3.4-10.3.8
- Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1
- OpenBSD 3.4 / 3.5
- Red Hat Linux 7.0-7.3 / 8 / 9
- Red Hat Enterprise Linux 2.1 / 3.0
- Slackware 9.0 / 9.1 / 10.0 / 10.1
- SME 6.0
- Solaris (SunOS)
- SuSE 7.3 / 8.0-8.2 / 9.0-9.2
- Ubuntu
- Yellow Dog Linux 3.0 / 3.01

Confirmed to work also on:
- CLFS
- DaNix (Debian clone)
- PCLinuxOS
- VectorLinux SOHO 3.2 / 4.0
- CPUBuilders Linux
- Virtuozzo (VPS)





뭐 간단히 /tmp/에 파일을 복사하여 넣고

gzip -d rkhunter-1.3.6.tar.gz (압축 풀고)
tar xvf rkhunter-1.3.6.tar (타르 파일 풀고)


/tmp/rkhunter-1.3.6/ 디렉토리 파일이 풀린다...

뭐. 설치는 어렵지않다.

/tmp/rkhunter-1.3.6/installer.sh --install

/tmp/rkhunter-1.3.6/installer.sh 쉘을 치면 설명이 나온다.... 한번 읽어 보면 좋다.

1. 설치 화면

 # ./installer.sh  --install
Checking system for:
 Rootkit Hunter installer files: found
 A web file download command: wget found
Starting installation:
 Checking installation directory "/usr/local": it exists and is writable.
 Checking installation directories:
  Directory /usr/local/share/doc/rkhunter-1.3.6: creating: OK
  Directory /usr/local/share/man/man8: exists and is writable.
  Directory /etc: exists and is writable.
  Directory /usr/local/bin: exists and is writable.
  Directory /usr/local/lib64: exists and is writable.
  Directory /var/lib: exists and is writable.
  Directory /usr/local/lib64/rkhunter/scripts: creating: OK
  Directory /var/lib/rkhunter/db: creating: OK
  Directory /var/lib/rkhunter/tmp: creating: OK
  Directory /var/lib/rkhunter/db/i18n: creating: OK
 Installing check_modules.pl: OK
 Installing filehashmd5.pl: OK
 Installing filehashsha1.pl: OK
 Installing filehashsha.pl: OK
 Installing stat.pl: OK
 Installing readlink.sh: OK
 Installing backdoorports.dat: OK
 Installing mirrors.dat: OK
 Installing programs_bad.dat: OK
 Installing suspscan.dat: OK
 Installing rkhunter.8: OK
 Installing ACKNOWLEDGMENTS: OK
 Installing CHANGELOG: OK
 Installing FAQ: OK
 Installing LICENSE: OK
 Installing README: OK
 Installing language support files: OK
 Installing rkhunter: OK
 Installing rkhunter.conf: OK
Installation complete

2. 위의 정상적으로 설치 완료 화면을 보고 난뒤
    /usr/local/bin/rkhunter 폴더를 볼수 있다.
    - 실행해 보기

 # ./rkhunter

Usage: rkhunter {--check | --unlock | --update | --versioncheck |
                 --propupd [{filename | directory | package name},...] |
                 --list [{tests | {lang | languages} | rootkits}] |
                 --version | --help} [options]

Current options are:
         --append-log                  Append to the logfile, do not overwrite
         --bindir <directory>...       Use the specified command directories
     -c, --check                       Check the local system
  --cs2, --color-set2                  Use the second color set for output
         --configfile <file>           Use the specified configuration file
         --cronjob                     Run as a cron job
                                       (implies -c, --sk and --nocolors options)
         --dbdir <directory>           Use the specified database directory
         --debug                       Debug mode
                                       (Do not use unless asked to do so)
         --disable <test>[,<test>...]  Disable specific tests
                                       (Default is to disable no tests)
         --display-logfile             Display the logfile at the end
         --enable  <test>[,<test>...]  Enable specific tests
                                       (Default is to enable all tests)
         --hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
                 NONE | <command>}     Use the specified file hash function
                                       (Default is SHA1, then MD5)
     -h, --help                        Display this help menu, then exit
 --lang, --language <language>         Specify the language to use
                                       (Default is English)
         --list [tests | languages |   List the available test names, languages,
                 rootkits]             or checked for rootkits, then exit
     -l, --logfile [file]              Write to a logfile
                                       (Default is /var/log/rkhunter.log)
         --noappend-log                Do not append to the logfile, overwrite it
         --nocolors                    Use black and white output
         --nolog                       Do not write to a logfile
--nomow, --no-mail-on-warning          Do not send a message if warnings occur
   --ns, --nosummary                   Do not show the summary of check results
 --novl, --no-verbose-logging          No verbose logging
         --pkgmgr {RPM | DPKG | BSD |  Use the specified package manager to obtain or
                   NONE}               verify file hash values. (Default is NONE)
         --propupd [file | directory | Update the entire file properties database,
                    package]...        or just for the specified entries
     -q, --quiet                       Quiet mode (no output at all)
  --rwo, --report-warnings-only        Show only warning messages
     -r, --rootdir <directory>         Use the specified root directory
   --sk, --skip-keypress               Don't wait for a keypress after each test
         --summary                     Show the summary of system check results
                                       (This is the default)
         --syslog [facility.priority]  Log the check start and finish times to syslog
                                       (Default level is authpriv.notice)
         --tmpdir <directory>          Use the specified temporary directory
         --unlock                      Unlock (remove) the lock file
         --update                      Check for updates to database files
   --vl, --verbose-logging             Use verbose logging (on by default)
     -V, --version                     Display the version number, then exit
         --versioncheck                Check for latest version of program
     -x, --autox                       Automatically detect if X is in use
     -X, --no-autox                    Do not automatically detect if X is in use


헉스,,, 옵션을 줘야 한다.

처음에는 rkhunter가 사용하는 DB부터 만들어주는것을 권고한다.

# rkhunter --propupd

끝나면

실제로 check를 해보자

# rhunter -c

실행화면 (칼라로 나온다 잇힝...)

 [ Rootkit Hunter version 1.3.6 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ Warning ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
    /bin/cut                                                 [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
    /bin/dmesg                                               [ OK ]
    /bin/echo                                                [ OK ]
    /bin/ed                                                  [ OK ]
    /bin/egrep                                               [ OK ]
    /bin/env                                                 [ OK ]
    /bin/fgrep                                               [ OK ]
    /bin/grep                                                [ OK ]
    /bin/kill                                                [ OK ]
    /bin/logger                                              [ OK ]
    /bin/login                                               [ OK ]
    /bin/ls                                                  [ OK ]
    /bin/mail                                                [ OK ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/rpm                                                 [ Warning ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/sort                                                [ OK ]
    /bin/su                                                  [ OK ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/gawk                                                [ Warning ]
    /bin/tcsh                                                [ OK ]
    /usr/bin/awk                                             [ Warning ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/curl                                            [ Warning ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/elinks                                          [ Warning ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/groups                                          [ Warning ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ Warning ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/links                                           [ Warning ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ Warning ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/readlink                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ Warning ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/gawk                                            [ Warning ]
    /sbin/chkconfig                                          [ OK ]
    /sbin/depmod                                             [ OK ]
    /sbin/fuser                                              [ OK ]
    /sbin/ifconfig                                           [ OK ]
    /sbin/ifdown                                             [ Warning ]
    /sbin/ifup                                               [ Warning ]
    /sbin/init                                               [ OK ]
    /sbin/insmod                                             [ OK ]
    /sbin/ip                                                 [ OK ]
    /sbin/kudzu                                              [ OK ]
    /sbin/lsmod                                              [ OK ]
    /sbin/modinfo                                            [ OK ]
    /sbin/modprobe                                           [ OK ]
    /sbin/nologin                                            [ OK ]
    /sbin/rmmod                                              [ OK ]
    /sbin/runlevel                                           [ OK ]
    /sbin/sulogin                                            [ OK ]
    /sbin/sysctl                                             [ OK ]
    /sbin/syslogd                                            [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/kudzu                                          [ OK ]
    /usr/sbin/lsof                                           [ OK ]
    /usr/sbin/prelink                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/sestatus                                       [ OK ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/local/bin/rkhunter                                  [ OK ]
    /etc/rkhunter.conf                                       [ OK ]

[Press <ENTER> to continue]


Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    Adore Rootkit                                            [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    cb Rootkit                                               [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    FreeBSD Rootkit                                          [ Not found ]
    Fu Rootkit                                               [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    iLLogiC Rootkit                                          [ Not found ]
    IntoXonia-NG Rootkit                                     [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    ld-linuxv.so Rootkit                                     [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx2 Rootkit                                         [ Not found ]
    Phalanx2 Rootkit (extended tests)                        [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    'Spanish' Rootkit                                        [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    SunOS Rootkit                                            [ Not found ]
    SunOS / NSDAP Rootkit                                    [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    trNkit Rootkit                                           [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    Vampire Rootkit                                          [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    Xzibit Rootkit                                           [ Not found ]
    X-Org SunOS Rootkit                                      [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]
    ZK Rootkit                                               [ Not found ]

  Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]
    Checking for Apache backdoor                             [ Not found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]

[Press <ENTER> to continue]


Checking the network...

  Performing check for backdoor ports
    Checking for TCP port 1524                               [ Not found ]
    Checking for TCP port 1984                               [ Not found ]
    Checking for UDP port 2001                               [ Not found ]
    Checking for TCP port 2006                               [ Not found ]
    Checking for TCP port 2128                               [ Not found ]
    Checking for TCP port 6666                               [ Not found ]
    Checking for TCP port 6667                               [ Not found ]
    Checking for TCP port 6668                               [ Not found ]
    Checking for TCP port 6669                               [ Not found ]
    Checking for TCP port 7000                               [ Not found ]
    Checking for TCP port 13000                              [ Not found ]
    Checking for TCP port 14856                              [ Not found ]
    Checking for TCP port 25000                              [ Not found ]
    Checking for TCP port 29812                              [ Not found ]
    Checking for TCP port 31337                              [ Not found ]
    Checking for TCP port 33369                              [ Not found ]
    Checking for TCP port 47107                              [ Not found ]
    Checking for TCP port 47018                              [ Not found ]
    Checking for TCP port 60922                              [ Not found ]
    Checking for TCP port 62883                              [ Not found ]
    Checking for TCP port 65535                              [ Not found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

[Press <ENTER> to continue]


Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ Warning ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Found ]
    Checking if SSH root access is allowed                   [ Warning ]
    Checking if SSH protocol v1 is allowed                   [ Not allowed ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ None found ]
    Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]


Checking application versions...

    Checking version of GnuPG                                [ OK ]
    Checking version of Apache                               [ Warning ]
    Checking version of OpenSSL                              [ Warning ]
    Checking version of PHP                                  [ Warning ]
    Checking version of Procmail MTA                         [ OK ]
    Checking version of OpenSSH                              [ Warning ]


System checks summary
=====================

File properties checks...
    Files checked: 134
    Suspect files: 14

Rootkit checks...
    Rootkits checked : 253
    Possible rootkits: 0

Applications checks...
    Applications checked: 6
    Suspect applications: 4

The system checks took: 1 minute and 56 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

 



자 끝났다... 실제 체크 옵션의 Warning 부분인데.. 어라.. 자세히 안나온다

자세한 내용은 /var/log/rkhunter.log를 살펴보자... 그럼 더 자세한 경고 문구들이 나온다.

조치방법은 워낙 많기 때문에 구글링(www.google.co.kr)을 통해 검색해 보자 ~

하앍.............
반응형

'OS > Linux' 카테고리의 다른 글

CENTOS 7에 XRDP 설치하기  (0) 2017.08.26
리눅스 백업 및 복구  (0) 2013.01.25
삼성 컴퓨터 유분투 설치기.  (0) 2012.02.06
ps auxc 와 ps aux 결과 비교하기  (0) 2010.01.21
AWK & SED chunk_1  (0) 2010.01.21

+ Recent posts