chkrootkit의 결과에 대해 답변드립니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

z2는 zap2이라고도 하며 last 로 보았을때 특정한 유저의 접속 정보
즉, utmp/wtmp/lastlog 파일에서 특정한 유저의 접속 정보를 삭제하는 프로그램
이라고 생각하시면 됩니다. 공격자가 root 권한을 획득후 특정한 유저의 접속 정보를 삭제하고자 할 때 자주 사용됩니다.

 chkrootkit을 실행하면 아래와 같이 lastlog 파일을 살펴보아
특정한 유저의 접속정보가 있는지/없는지 여부를 확인하게 되는데,
아래의  경우 db002라는 유저의 접속정보가 파일에 없다는 의미입니다.  

Checking `z2'... user db002 deleted or never loged from lastlog!

그러나 그렇다고 해서 반드시 해킹을 당했다고 할 수는 없습니다.
왜냐하면 db002의 경우 계정만 생성 후 전혀 로그인하지 않은 계정일 수도 있기 때문입니다. 따라서 먼저 위 계정을 통해 로그인한 흔적이 있는지 없는지 여부를 확인하시는 것이 좋겠습니다. 만약 실제로 전혀 사용흔적이 없다면 오탐(false positive)이므로 안심하셔도 됩니다. 물론 그렇지 않다면 공격자가 이미 root 권한을 획득하였다는 의미이므로 9장에 나온 보안 프로그램을 이용하여  서버의 보안 상태를  점검하셔야 합니다.

감사합니다.