rootkit検知ツール(chkrootkit)の導入
トップ Solaris FreeBSD Gentoo CentOS Fedora Windows Tips 自宅サーバの動作確認 サイト内検索(Namazu) サイト内検索(HE)

各種のプログラムを隠蔽したり改竄するrootkitを検知する為に「chkrootkit」を導入する。

「chkrootkit」のインストール
Gentoo ~ # emerge chkrootkit <= 「chkrootkit」のインストール
「chkrootkit」の実行

chkrootkitコマンドにより実行する。
この時、INFECTED が出力されなければ問題ない。
ただし、「postfix」でTLSの設定を行い、ポートの465番を開けた場合、誤検知され出力されるが、問題ない。

Gentoo ~ # chkrootkit | grep INFECTED <= chkrootkitコマンド実行
Checking `bindshell'... INFECTED (PORTS:  465) <= 誤検知の為、問題ない
「chkrootkit」の自動実行

/etc/cron.weekly/chkrootkit ファイルが自動的作成されるが、すべてコメントアウトされているので、 中身を以下のように書き換える。
この時、「postfix」の誤検知の対応も行う。
なお、ここで lsof コマンドを使っているので、インストールしていない場合はインストールする。
emerge lsof でインストールできる。

Gentoo ~ # vi /etc/cron.weekly/chkrootkit <= スクリプトファイルの編集
#!/bin/sh

CHKROOTKIT=/usr/sbin/chkrootkit
GREP=/bin/grep
LSOF=/usr/sbin/lsof
SED=/usr/bin/sed
CAT=/usr/bin/cat
RM=/usr/bin/rm
LOG=/var/log/chkrootkit.log
TMPLOG=/tmp/chkrootkit.log

$CHKROOTKIT > $LOG

$GREP INFECTED $LOG > $TMPLOG
if [ -n "$($GREP 465 $TMPLOG)" ]; then
    if [ -z $($LSOF -i:465 | $GREP bindshell) ]; then
        $SED -i '/465/d' $TMPLOG
    fi
fi

$CAT $TMPLOG
$RM -f $TMPLOG
▲ページのトップへ