secu002

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

--- secu002 [2015/02/06 11:32]
minetech
+++ secu002 [2015/02/09 11:02] (현재)
minetech
@@ 줄 265: / 줄 265: @@
 ==== [조치 내역] ====
+  * ClamAV 설치
+<file>
+.1 ClamAV 설치
+[root@egovWas2 ~]# yum install clamav clamd
+.2 ClamAV 바이러서 데이터베이스 업데이트
+[root@egovWas2 ~]# freshclam
+.3 검사
+- home 디렉토리와 그 하위 디렉토리를 검사
+[root@egovWas2 ~]# clamscan -r /home
+- clamscan 결과를 로그 파일로 남기고 싶으면
+[root@egovWas2 ~]# clamscan -r /home -l clamscan.log
+[root@egovWas2 ~]# 감염된 파일을 특정 디렉토리로 이동하려면
+[root@egovWas2 ~]# clamscan -r /home --move=DIRECTORY
+</file>
+  * RootKit Hunter 설치 및 매일 실행하는 cron 등록
+<file>
+.1 rkhunter 설치
+[root@egovWas2 ~]# yum list | grep rkhunter
+[root@egovWas2 ~]# yum install rkhunter
+.2 Update rkhunter
+To check the currently installed version enter the following
+[root@egovWas2 ~]# /usr/local/bin/rkhunter --versioncheck
+Run the updater by issuing the following command:
+[root@egovWas2 ~]# /usr/local/bin/rkhunter --update
+With our database files refreshed, we need to tell rkhunter to check the current values and store them as known-good values:
+[root@egovWas2 ~]# /usr/local/bin/rkhunter --propupd
+.3 Manual Scan
+Step 1] 시작하기 전에 rkhunter 가 사용할 DB를 생성
+[root@egovWas2 ~]# rkhunter --propupd
+Step 2] 실행명령어
+[root@egovWas2 ~]# rkhunter --check
+또는
+[root@egovWas2 ~]# rkhunter -c --rwo  // warning메세지,비정상적인 결과만 출력
+.4 Automate Rootkit Hunter
+[root@egovWas2 ~]# touch /etc/cron.daily/rkhunter.sh
+[root@egovWas2 ~]# chmod 755 /etc/cron.daily/rkhunter.sh
+[root@egovWas2 ~]# vi /etc/cron.daily/rkhunter.sh
+#!/bin/sh
+(
+/usr/local/bin/rkhunter --versioncheck
+/usr/local/bin/rkhunter --update
+/usr/local/bin/rkhunter --cronjob --report-warnings-only
+) | /bin/mail -s 'rkhunter Daily Scan Report (PutYourServerNameHere)' your@email.here
+</file>
 rootkit 감염된 파일을 살펴보면 등록되지 않은 사용자와 그룹으로 만들어져 있고 해당 파일들의 속성이 변경되어 삭제할 수 없게 되어있다. 따라서 그 속성을 먼저 변경해 줘야 한다.
@@ 줄 416: / 줄 481: @@
 </file>

secu002.1423189968.txt.gz · 마지막으로 수정됨: 2015/02/06 11:32 저자 minetech