rootkit検知ツール(chkrootkit)の導入
各種のプログラムを隠蔽したり改竄するrootkitを検知する為に「chkrootkit」を導入する。
「chkrootkit」のインストール
FreeBSD# cd /usr/ports/security/chkrootkit <= 作業用ディレクトリへ移動
FreeBSD# make install clean <= 「chkrootkit」のインストール
FreeBSD# rehash <= パスを通す
|
「chkrootkit」の実行
chkrootkitコマンドにより実行する。
この時、INFECTED が出力されなければ問題ない。
ただし、「postfix」でTLSの設定を行い、ポートの465番を開けた場合、誤検知され出力されるが、問題ない。
FreeBSD# chkrootkit | grep INFECTED <= chkrootkitコマンド実行
Checking `bindshell'... INFECTED (PORTS: 465) <= 誤検知の為、問題ない
|
「chkrootkit」の自動実行
「chkrootkit」を実行するスクリプトを作成し、cronに登録して自動実行する。
この時、「postfix」の誤検知の対応も行う。
FreeBSD# vi chkrootkit.sh <= スクリプトファイルの作成
#!/bin/sh
CHKROOTKIT=/usr/local/sbin/chkrootkit
GREP=/usr/bin/grep
SOCKSTAT=/usr/bin/sockstat
SED=/usr/bin/sed
RM=/bin/rm
LOG=/var/log/chkrootkit.log
TMPLOG=/tmp/chkrootkit.log
$CHKROOTKIT > $LOG
$GREP INFECTED $LOG > $TMPLOG
if [ -n "$($GREP 465 $TMPLOG)" ]; then
if [ -z $($SOCKSTAT -l | $GREP 465 | $GREP bindshell) ]; then
$SED '/465/d' $TMPLOG
fi
fi
$RM -f $TMPLOG
FreeBSD# chmod 700 /root/chkrootkit.sh <= 作成したスクリプトに実行権限付加
|
スクリプトの自動実行
FreeBSD# vi /etc/crontab <= cron編集
00 06 * * * root /root/chkrootkit.sh <= 追加(毎日6:00にスクリプト実行)
|