จากการตรวจสอบเครื่องนี้ใช้งาน Centos 5 ไม่มีการวางระบบความปลอดภัยใดๆ เลยจึงเริ่มด้วยการติดตั้งและตรวจสอบด้วย rkhunter ผลปรากฎว่าผ่านหมด จากนั้นจึงติดตั้งและตรวจสอบด้วย chkrootkit ผลปรากฎว่ามีข้อความ
Checking `bindshell'... INFECTED (PORTS: 465)
bindshell เป็น remote shell connection โดยส่วนใหญ่จะเปิด port 465 เป็นช่องทางให้ผู้โจมตีเข้ามา
เราเจอแล้วนั่นล่ะตัวปัญหา จึงเริ่มตรวจสอบว่า process ใดเป็นผู้ใช้งาน port นี้อยู่ด้วยคำสั่ง
fuser -vn tcp 465
หรือ
lsof -i tcp:465
เราก็จะพบว่า process ใดใช้งาน ยort นี้อยู่จากกรณีนี้พบว่าใช้งานผ่าน xinetd จึงไม่สามารถลบได้ จึงตรวจสอบใน /etc/services ว่ามีการสั่งเปิด port ไว้หรือไม่
grep 465 /etc/services
ได้ผลเป็น
smtps 465/tcp # SMTP over SSL (TLS)
มีการสั่งเปิด port ไว้จริงทำการแก้ไขบรรทัดนั้น จากนั้นก็ทำการ restart xinetd
service xinetd restart
จากนั้นทำการตรวจสอบด้วย rkhunter และ chkrootkit อีกรอบเพื่อความแน่ใจ
คำเตือน เนื้อหาต่างๆ ในบทความ รวมถึงรูปภาพทั้งหมดในบทความนี้ เป็นความเห็นส่วนตัวของผู้เขียนแต่ละคน ซึ่งแต่ละคนได้ทำการลงทะเบียน และเขียนบทความลงใน Modoeye Articles นี้โดยไม่มีค่าธรรมเนียมใดๆ บทความเหล่านี้เป้าหมายเพื่อการศึกษา และความบันเทิงเท่านั้น การนำส่วนหนึ่งส่วนใดของบทความไปใช้งาน ควรทำการอ้างอิงถึงผู้เขียนและแหล่งที่มาด้วย