Question. rpm 패키지 관리 명령을 이용한 변조된 파일 확인
Linux 시스템의 패키지 관리 명령인 rpm 은 시스템 분석에 매우 유용한 도구이다.
특히 설치된 패키지의 변조된 파일을 분석하는데 사용될 수 있다.

rpm 명령을 사용하여 변조된 실행 파일을 찾도록 한다.

rpm(Redhat Package Management)은 레드햇 사와 수세 리눅스 사의 리눅스 배포본 제품에서 사용하는 패키지의 설치 및 제작 관리 툴이다.

rpm 명령어를 이용하여 파일의 변조 여부를 확인하기 위해서는 "V" 옵션을 사용하며 출력되는 내용에 대한 의미는 다음과 같다.
  S file Size differs
  M Mode differs (includes permissions and file type)
  5 MD5 sum differs
  D Device major/minor number mismatch
  L readLink(2) path mismatch
  U User ownership differs
  G Group ownership differs
  T mTime differs
따라서 파일의 내용이 변조될 경우 MD5 해쉬값이 변경되면서 "5" 가 출력되는 것을 알 수 있다.

특정 파일이 변조 되었을 경우 해당 파일이 속하는 패키지를 찾기 위해서는 "q" 옵션을 사용한다.
 [Geek@root]# rpm -qf /bin/ls
coreutils-5.97-12.1.el5
/bin/ls가 coreutils-5.97-12.1.el5 패키지 설치시 설치된 파일인 것을 알 수 있다.

따라서 문제에서는 rpm -Va 명령을 이용하여 MD5 해쉬값이 변경된 파일을 찾으면 해결할 수 있다.

                                                                +---------------------------------+
                                                                | Infinite Flow..                              |
                                                                | mail : geekspark@gmail.com         |
                                                                | Blog : http://sinun.tistory.com       |
                                                                | CISSP                                        |
                                                                +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K

티스토리 툴바