(swapd) , rkhunter 질문드려요

저도 잘모르지만 ㅎ 일단 rkhunter 내용 젤밑에있는 것만 올려주셨는데 .. 좀더 위에 보시면 변형된 파일 나옵니다. 경고메시지와 함께.. 그걸 찾아서 그파일 다시 깔아주시구면 되구요 일단 /tmp 나 /usr/bin /usr/sbin/ 등 파일 찾아서 백도어 설치되어있나 확인하여주시구요 디렉토리안 파일들 lsattr 명령어 쳐서 잠겨져 있는 파일 있나 찾아보시고 그것도 변형이나 백도어파일로 의심해보시고 첨보는거면 삭제하시고 하면 될꺼 같아요..
이건 기본적인 사항이고 저도 해킹관련해서 골이아프네요..근데 하나하나 알아가니깐
잼있기도 하구 신기하기도 하고 ㅎ 암튼 꼭 백도어 찾아서 제거 하시고 보안설정 철철히 해서 승리하세요 ㅋ

일단 변조된 파일은 찾아서 새로운파일로 교체했습니다. 위에 rkhunter 로
나온건 파일 스캔에서 저렇게 나오고 있구요 위에 자세한 내용봐도 어떤파일인지는
안나오네요 .. dreams rootkit 이 발견되었다는 메세지만 나오고 있고요

음 .. 일단 한번 아래 디렉토리 ls -l /bin/ps 이런씩으로 명령어 쳐서 권한 누구로 되어있나 확인해서 바꿔줘 보세요
/lib/libsh.so/shrs
/lib/libsh.so/shhk
/lib/libsh.so/shhk.pub
/sbin/ttymon
/sbin/ttyload
/sbin/ifconfig
/usr/lib/libsh/.sniff/shp
/usr/lib/libsh/.sniff/shsniff
/usr/lib/libsh/.bashrc
/usr/lib/libsh/shsb
/usr/lib/libsh/hide
/usr/sbin/lsof
/usr/bin/pstree
/usr/bin/find
/usr/bin/top
/usr/bin/dir
/usr/bin/slocate
/usr/bin/md5sum
/bin/ps
/bin/ls
/bin/netstat
/var/tmp/httpd

권한은 모두 root 로 되 어 있습니다.
아래는 ckhrootkit -q 내용입니다.
------------------------------------
/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Statistics/Distributions/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Parse/Syslog/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist

Possible Madalin rootkit installed
Warning: `' is linked to another file
/proc/3074/fd: No such file or directory
eth0: PROMISC
 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root        2836 tty5  /sbin/mingetty tty5
! root        2928 tty7  /usr/bin/Xorg :0 -audit 0 -auth /var/gdm/:0.Xauth -nolisten tcp vt7
----------------------------------------------------------------
원래첫줄에 변조된 파일이 나왔었는데 새로운 파일로 교체루 안나오고 위와같이
나오네요 ..ㅠㅠ