chkrootkitのインストール

概要:chkrootkitはシステムにrootkitが組み込まれていないかを検査するツールである。chkrootkitは、rootkitおよびワームの検出の以外にも、ネットワークインターフェースがプロミスキャスモードになっていないか、ログファイルlastlog/wtmpは改ざんされていないか、隠蔽されているプロセスはないか、といった項目をチェックすることができる。
前提:

1. chkrootkitインストール
RPMforgeリポジトリよりchkrootkitを導入する。

# yum -y --enablerepo=rpmforge install chkrootkit ← chkrootkitインストール

2. chkrootkit確認

# chkrootkit | grep INFECTED ← chkrootkit実行

上記の結果に"INFECTED"という行が表示されなければ問題なし。

3. chkrootkit定期自動実行設定

# vi /etc/cron.daily/chkrootkit ← chkrootkit実行スクリプト作成
#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG
# chmod 700 /etc/cron.daily/chkrootkit ← chkrootkitへ実行権限付加

これで毎日定期的にrootkitがインストールされていないかチェックされ、インストールされていた場合はroot宛にメールが届くようになる。 また、chkrootkitの実行結果は/var/log/messagesに保存される。

4. chkrootkitで使用する安全なコマンドの確保
既にシステムにrootkitが組み込まれていて、コマンド自体が改ざんされている場合には、rootkitを正常に検出できなくなる。chkrootkitが利用するコマンド群をコピーしておき、必要な場合にはそのコマンド群を使用してchkrootkitを実行する。

  • chkrootkitが利用するコマンド群
    awk、cut、egrep、find、head、id、ls、netstat、ps、strings、sed、uname、echo
    # mkdir chkrootkitcmd
    # cp -p `which --skip-alias awk cut echo egrep find head id ls netstat ps 
    strings sed uname` chkrootkitcmd/
     ← chkrootkit使用コマンドを退避先ディレクトリへコピー
    # zip -r chkrootkitcmd.zip chkrootkitcmd/
     ← chkrootkit使用コマンド退避先ディレクトリ圧縮
    # rm -rf chkrootkitcmd ← chkrootkit使用コマンド退避先ディレクトリ削除
    # yum -y install sharutils
     ← mailコマンドでzipファイル添付メールを送信するのに必要なuuencodeコマンドインストール
    # uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root
     ← chkrootkit使用コマンド(圧縮版)をroot宛にメール送信
    # rm -f chkrootkitcmd.zip ← chkrootkit使用コマンド(圧縮版)削除
    

最終更新のRSS
Last-modified: 2014-03-11 (火) 01:59:57 (1961d)