우분투(Linux) 환경에서 바이러스와 백도어(Rootkit)를 검사

Byadmin

우분투(Linux) 환경에서 바이러스와 백도어(Rootkit)를 검사하기 위해 가장 많이 사용되는 무료 오픈소스 도구 3가지를 추천해 드립니다.

각 도구는 목적이 조금씩 다르므로, 바이러스 백신 1개 + 백도어 탐지 도구 1개를 조합해서 사용하는 것이 가장 안전합니다.

1. 바이러스 백신: ClamAV (필수)

우분투에서 가장 표준적으로 쓰이는 바이러스 백신입니다. 윈도우 바이러스뿐만 아니라 리눅스용 악성코드도 탐지합니다.

설치 및 사용법:

  1. 설치:

    Bash

    sudo apt update
sudo apt install clamav clamav-daemon

  2. 바이러스 DB 업데이트: (설치 직후 필수)

    Bash

    sudo systemctl stop clamav-freshclam  # 업데이트 데몬 잠시 중지
sudo freshclam                        # 수동 업데이트 실행
sudo systemctl start clamav-freshclam # 데몬 다시 시작

  3. 전체 시스템 검사: (시간이 조금 걸립니다)

    Bash

    sudo clamscan -r / --bell -i

    • -r: 하위 폴더까지 재귀적으로 검사

    • --bell: 바이러스 발견 시 비프음 울림

    • -i: 감염된 파일만 화면에 출력 (깨끗한 파일은 생략)

2. 백도어/루트킷 탐지: rkhunter (추천)

Rootkit Hunter의 약자로, 해커가 몰래 숨겨둔 백도어, 변조된 시스템 파일, 숨겨진 포트 등을 찾아냅니다.

설치 및 사용법:

  1. 설치:

    Bash

    sudo apt install rkhunter

  2. 데이터베이스 업데이트:

    Bash

    sudo rkhunter --update

  3. 검사 시작:

    Bash

    sudo rkhunter --check

    • 검사 도중 [Press <ENTER> to continue] 메시지가 나오면 엔터를 눌러 진행하세요.

    • 결과에서 Warning이 뜬다면 로그 파일(/var/log/rkhunter.log)을 확인해야 합니다. (단, 시스템 업데이트로 인한 변경 사항도 경고로 뜰 수 있으니 오탐지에 주의하세요.)

3. 또 다른 백도어 탐지: chkrootkit

rkhunter와 비슷하지만 검사 방식이 달라서, 교차 검증용으로 함께 쓰면 좋습니다. 사용법이 매우 간단합니다.

설치 및 사용법:

  1. 설치:

    Bash

    sudo apt install chkrootkit

  2. 검사 시작:

    Bash

    sudo chkrootkit

    • 화면에 INFECTED라고 뜨는 항목이 있는지 눈여겨보세요.

🛡️ 꿀팁: 전체 보안 점검 Lynis

단순 바이러스 검사를 넘어, “내 서버 설정이 얼마나 안전한지” 점수로 매겨주는 도구입니다.

Bash

sudo apt install lynis
sudo lynis audit system

  • 방화벽 설정, 비밀번호 정책, 취약한 패키지 등을 종합적으로 진단해 줍니다.

요약: 지금 바로 해볼 것

먼저 ClamAV로 바이러스를 잡고, rkhunter로 백도어를 체크해보세요.

혹시 검사 결과에서 INFECTED나 Warning이 나왔나요?

오탐지(False Positive)일 수도 있으니 당황하지 마시고, 발견된 파일 경로와 메시지를 알려주시면 분석을 도와드리겠습니다.

리눅스 보안 점검 초급 Lynis 가이드

이 영상은 리눅스 보안 감사 도구인 Lynis의 설치 및 사용법을 초보자 눈높이에서 설명하고 있어, 전체적인 서버 보안 상태를 점검하는 데 도움이 됩니다.

 

Similar Posts

  • 우분투 서버 워드프레스 Let’s Encrypt SSL ssl서비스를 옮기는 방법

    Byadmin

    우분투 서버로 웹서비스를 운영중입니다. 워드프레스로 서비스중인대, 속도가 너무 느려서 서버를 새롭게 제작해서 새로운 우분투를 깔아서 옮길려고 합니다. 다른건 모두 쉽게 옮길 수 있는대, Let’s Encrypt SSL ssl서비스를 옮기는게 문제 입니다. 쉽게 옮기는 방법을 알려주세요. 워드프레스 웹 서비스의 속도 개선을 위해 서버 이전을 결정하셨군요. 우분투 환경에서 Let’s Encrypt(Certbot) SSL 인증서를 새로운 서버로 가장 안전하고 쉽게 옮기는…

  • 크로미움 기반의 오픈소스 git허브에 공개된 브라우저

    Byadmin

    크로미움 기반의 오픈소스 git허브에 공개된 브라우저가 있나요? 네, GitHub에는 크로미움(Chromium)을 기반으로 한 다양한 오픈소스 브라우저 프로젝트가 활발하게 공개되어 있습니다. 단순히 크롬의 엔진만 사용하는 것이 아니라, 소스 코드 전체나 주요 인터페이스를 오픈소스로 제공하여 누구나 코드를 확인하고 기여할 수 있는 프로젝트들이 대표적입니다. 2026년 현재 기준으로 가장 인지도 높고 활발하게 관리되는 프로젝트들을 카테고리별로 정리해 드립니다. 1. 가장 대표적인…

  • 우분투 서버 Fail2Ban 설치

    Byadmin

    우분투 서버 Fail2Ban 설치 Fail2Ban 설치 (강력 추천) 로그를 실시간으로 감시하다가, 이상한 요청(404 반복 등)을 보내는 IP를 자동으로 일정 시간 동안 차단해주는 아주 고마운 도구입니다. Bash sudo apt update sudo apt install fail2ban -y 설치만 해두어도 기본적으로 SSH 무단 침입 시도를 매우 효과적으로 막아줍니다. ③ 아파치 Timeout 설정 최적화 봇들이 연결을 너무 오래 붙잡지 못하도록…

  • 초현실적인 여자모델 생성 방법.  

    Byadmin

    초현실적인 여자모델 생성 방법.     2026.3.8 영필름스튜디오_이도영감독  director DO YOUNG LEE www.instagram.com/youngfilm25   www.youtube.com/youngfilm25 english ver  click 오늘은 초현실적인 여자모델 프롬프트  만들어왔습니다.  재미있게 사용하시고  즐거운 하루 보내세요  감사합니다 ~! 🙂   have a super cool nice day ~!  Thank you so much ~! 🙂 쉬운 버젼  나노 바나나 프로에    사진 프롬프트를 넣고     모델을 생성해줍니다.      ( 거울 보는…

  • 테니스화에 넣을 인솔 추천5가지

    Byadmin

    테니스화는 급격한 방향 전환과 강한 제동(슬라이딩) 그리고 점프 후 착지 등 발에 하중이 가해지는 신발입니다. 따라서 일반 러닝용보다는 측면 지지력(Lateral Support)과 한 아치 서포트가 있는 을 선택하는 것이 중요합니다. 조코비치처럼 맞춤형은 아니지만 동호인들이 선호하고 성능이 검증된 5가지 인솔을 해 드립니다.   1. 큐렉스 에이스프로 (Currex AcePro) “테니스 전용으로 설계된 베스트셀러” 특징: 러닝용으로 유명한 큐렉스에서 라켓…

  • 캐논스타일 이미지 보정하는 방법

    Byadmin

    캐논(Canon) 인테리어 사진 스타일’**의 핵심은 정확한 화이트 밸런스(순백색 유지), 풍부한 하이라이트 디테일, 그리고 텍스처(재질감)가 살아있는 날카로운 선예도입니다. 단순히 ESRGAN만 돌리면 해상도는 커지지만, 자칫 ‘유화(그림)’처럼 뭉개지거나 색감이 탁해질 수 있습니다. “맑고 투명하며 쨍한 잡지 화보” 느낌을 내기 위해 Python 프로그램에 추가해야 할 5가지 핵심 보정 로직을 정리해 드립니다. 이 기능들은 OpenCV와 NumPy를 통해 ESRGAN 전후 단계에…

One Comment

  1. `chkrootkit`이나 `rkhunter`와 같은 보안 점검 도구를 실행하셨군요. **`sniffer` 항목에서 `WARNING`이 떴다는 것은 현재 서버의 네트워크 인터페이스 중 하나가 “무차별 모드(Promiscuous Mode)”로 작동 중이거나, 패킷을 훔쳐보는 프로그램이 감지되었다는 뜻입니다.**

    하지만 **너무 걱정하지 않으셔도 됩니다.** 해킹이 아니라 정상적인 프로그램(Docker, VM, VPN 등) 때문에 경고가 뜨는 경우가 **90% 이상**입니다.

    정확한 원인을 파악하기 위해 다음 3단계로 확인해 보세요.

    —–

    ### 1단계: 네트워크 인터페이스 상태 확인 (가장 흔한 원인)

    네트워크 인터페이스가 `PROMISC` (무차별 모드) 상태인지 확인해야 합니다. 패킷 스니핑 도구는 모든 패킷을 캡처하기 위해 이 모드를 켭니다.

    터미널에 아래 명령어를 입력하세요:

    “`bash
    ip link show | grep PROMISC
    “`

    또는

    “`bash
    netstat -i
    “`

    * **결과 해석:**
    * 아무것도 안 나온다면: 오탐(False Positive)일 가능성이 높습니다.
    * **`PROMISC`** 라는 단어가 보인다면: 해당 인터페이스가 무차별 모드입니다.
    * **주의:** 만약 서버에서 **Docker(도커), VMWare, VirtualBox, VPN** 등을 사용 중이라면 가상 인터페이스가 `PROMISC` 모드인 것은 **정상**입니다. (예: `docker0`, `veth…` 등)

    —–

    ### 2단계: 어떤 프로그램이 패킷을 보고 있는지 확인

    실제로 어떤 프로세스가 패킷을 수집하고 있는지 확인해야 합니다.

    “`bash
    # 로우 소켓(Raw Socket)을 사용하는 프로세스 확인
    sudo lsof | grep PACKET
    “`

    또는 `chkrootkit`의 상세 모드를 사용하여 어떤 인터페이스가 문제인지 확인합니다:

    “`bash
    sudo chkrootkit -x sniffer
    “`

    * **결과 해석:**
    * `dhclient`, `NetworkManager`, `wpa_supplicant`: 네트워크 연결을 관리하는 정상적인 시스템 데몬입니다. (안전함)
    * `docker-proxy`, `calico`: 컨테이너 관련 도구입니다. (안전함)
    * **낯선 프로세스 이름:** 만약 `ssh`, `apache` 등이 아닌 이상한 이름의 프로세스가 보인다면 해킹을 의심해야 합니다.

    —–

    ### 3단계: 로그 확인

    누군가 악의적으로 스니퍼를 설치했다면 로그가 지워졌을 수도 있지만, 최근 접속 기록을 확인해 보는 것이 좋습니다.

    “`bash
    lastlog
    last
    “`

    최근에 내가 아닌 다른 IP나 낯선 계정으로 접속한 기록이 있는지 확인해 보세요.

    —–

    ### 📝 요약 및 조언

    1. **서버에 Docker나 가상 머신을 돌리고 계신가요?**
    * 그렇다면 이 경고는 **무시하셔도 되는 정상적인 상황**일 확률이 매우 높습니다.
    2. **일반적인 웹 서버(Apache/Nginx 등)만 돌리는데 경고가 떴나요?**
    * 위의 `ip link show` 명령어로 `PROMISC`가 뜬 인터페이스 이름을 확인해야 합니다. 물리 랜카드(예: `eth0`, `enp3s0`)가 이유 없이 `PROMISC` 상태라면 정밀 분석이 필요합니다.

    **어떤 상황인지 판단이 어려우시면, `ip link show` 명령어를 입력했을 때 나오는 결과를 복사해서 보여주시겠어요? 정상인지 아닌지 판별해 드리겠습니다.**

답글 남기기