chkrootkit 실행결과에 대해

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

chkrootkit을 포함하여 대부분의 보안 모니터링 프로그램은 오탐(False Positive)이 있기에 결과에 대해 여러 방법으로 확인해 보셔야 합니다.
일단 lkm 기반의 루트킷 탐지에 대해서는 책(p 502-503)에서도  자세히 언급했듯이
./chkproc -v 을 여러번 실행해 보아 결과가 동일하다면 lkm이 맞고, 그렇지 않다면 무시하셔도 됩니다.

그리고, 역시 책에서 언급했듯이 chkrootkit 실행시

./chkrootkit -q 를 실행하시면 좀 더 간략한 결과를 확인하실 수 있습니다.

아울러, "warning, got duplicate tcp line" 은 netstat에서 내는 에러로 일종의 bug이므로 무시하셔도 됩니다.

감사합니다.