Chkrootkit 사용하시는 분 좀 도와주세요

자유 게시판
1

sudo chkrootkit 이렇게 치면

============================
chkdirs: nothing detected
Checking rexedcs'... not found Checking sniffer’… lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[3974])
Checking w55808'... not infected Checking wted’… chkwtmp: nothing deleted
Checking `scalper’… not infected

위와 같은 메시지들이 나오는데

sniffer 체킹부분에서 나오는 eth0: PACKET SNIFFER(/sbin/dhclient3[3974])

패킷스니퍼 어쩌구하면서 나오는거 저것 정상인건가요?

not promisc and no packet sniffer sockets

이 메세지를 보아서는 정상인거 같은데

영 찝찝해서 질문 올려봅니다

2

lo 내부네떡은 정상인데…
eth0 은 정상은 아니군요 정상이라면 역시 같은 메세지로 나와야겠지요
" not promisc and no packet sniffer sockets"

/sbin/dhclient3 파일은 dhcp3-client 패키지에 있는 파일 이니
재설치 하여 보시기 바랍니다.

sudo apt-get install --reinstall dhcp3-client

3

강분도님 답변 감사합니다

재설치하고 chkrootkit 해봤는데도 그대로입니다

그런데 이거 해킹의 문제인가요??

아니면 단순한 프로그램의 문제인가요?

혹시 잘 모르신다면

어디 자문 구할만한 사이트 없을까요ㅠㅠ…

4

구글링 해보니 같은 호소와 버그 보고 정상이다 답 등이 있던데…
지금 dhcp 를 사용 중이신가요?

전 서버8.04 와 데탑 9.04 에서
eth0 이 " not promisc and no packet sniffer sockets" 으로 나옵니다.

다른 유저 말로는 DHCP 사용중에는 정상이라고 합니다.

dhclient3이 eth0상태 체크하고있으니 스니퍼로 착각한다고 하는군요 ;)

다른 DHCP 사용자 분들은 어찌 나오는 지요?

5

강분도님 답변 감사합니다

저도 구글 검색을 해보니

http://www.nabble.com/understanding-chk ... 79361.html

이 페이지에서 이 구문을 보시면

==========================================================
You don’t need to worry about this if you’re really obtaining your IP
address via DHCP on eth0. dhclient really acts as a packet sniffer (it
listens in promisc mode) but that’s normal.

The other files/directories seem to be OK as well (at least I have them
on Debian too :)) but you can still google a bit about that if you feel
worried.

이 글에서 원하는 답을 찾았군요…

서버에서 dhcp를 사용한다면 eth0에서 표시되는 패킷스니퍼는 dhclient에서 작동하는 거라네요

정상이라는군요

혹시 저와 같은 문제로 고민하는 분이 없길 바라며 ‘-’;

6

추가 적인 정보입니다

sudo chkrootkit -x
위와 같이 전문가모드로 출력해보면 sniffer체킹 부분에서 아래와 같이 나옵니다

Output of: ./ifpromisc

lo: not promisc and no packet sniffer sockets
eth0: PROMISC PACKET SNIFFER(/sbin/dhclient3[3974])
not infected

not infected란 메세지가 뜨는 걸로 보아서 해킹의 문제는 아니므로 걱정 안하셔도 되겠네요…

7

그리고 이것은 ifconfig에서 promisc모드가 켜져있을 때 뜨는 스니퍼라고 하더군요…

보안상 promisc는 쓰는게 좋지 않다는 내용을 접했네요

http://blog.ssambai.com/75

저도 이 글을 읽어보구선 껐습니다…

sudo ifconfig -promisc

하면 promisc모드가 해제되구요 상태를 보시려면

sudo ifconfig

하시면 나옵니다