chkrootkitのインストール
概要:chkrootkitはシステムにrootkitが組み込まれていないかを検査するツールです。chkrootkitは、rootkitおよびワームの検出の以外にも、ネットワークインターフェースがプロミスキャスモードになっていないか、ログファイルlastlog/wtmpは改ざんされていないか、隠蔽されているプロセスはないか、といった項目をチェックすることができます。 1. chkrootkitインストール # yum --enablerepo=epel install chkrootkit ← chkrootkitインストール
Loaded plugins: downloadonly, fastestmirror, priorities
Loading mirror speeds from cached hostfile
* base: ftp.iij.ad.jp
* extras: ftp.iij.ad.jp
* updates: ftp.iij.ad.jp
epel | 4.3 kB 00:00
epel/primary_db | 4.7 MB 00:02
84 packages excluded due to repository priority protections
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package chkrootkit.x86_64 0:0.49-2.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
==========================================================================================
Package Arch Version Repository Size
==========================================================================================
Installing:
chkrootkit x86_64 0.49-2.el6 epel 303 k
Transaction Summary
==========================================================================================
Install 1 Package(s)
Total download size: 303 k
Installed size: 789 k
Is this ok [y/N]: y
Downloading Packages:
chkrootkit-0.49-2.el6.x86_64.rpm | 303 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : chkrootkit-0.49-2.el6.x86_64 1/1
Verifying : chkrootkit-0.49-2.el6.x86_64 1/1
Installed:
chkrootkit.x86_64 0:0.49-2.el6
Complete!
2. chkrootkit確認 # chkrootkit | grep INFECTED ← chkrootkit実行
上記の結果に"INFECTED"という行が表示されなければ問題ありません。 3. chkrootkit定期自動実行設定 # vi /etc/cron.daily/chkrootkit ← chkrootkit実行スクリプト作成
#!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # chkrootkit実行 chkrootkit > $TMPLOG # ログ出力 cat $TMPLOG | logger -t chkrootkit # SMTPSのbindshell誤検知対応 if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # rootkit検知時のみroot宛メール送信 [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG # chmod 700 /etc/cron.daily/chkrootkit ← chkrootkitへ実行権限付加
これで毎日定期的にrootkitがインストールされていないかチェックされ、インストールされていた場合はroot宛にメールが届くようになります。 また、chkrootkitの実行結果は/var/log/messagesに保存されます。 4. chkrootkitで使用する安全なコマンドの確保
# mkdir chkrootkitcmd # cp -p `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` chkrootkitcmd/ ← chkrootkit使用コマンドを退避先ディレクトリへコピー # zip -r chkrootkitcmd.zip chkrootkitcmd/ ← chkrootkit使用コマンド退避先ディレクトリ圧縮 # rm -rf chkrootkitcmd ← chkrootkit使用コマンド退避先ディレクトリ削除 # yum -y install sharutils ← mailコマンドでzipファイル添付メールを送信するのに必要なuuencodeコマンドインストール # uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root ← chkrootkit使用コマンド(圧縮版)をroot宛にメール送信 # rm -f chkrootkitcmd.zip ← chkrootkit使用コマンド(圧縮版)削除 Last-modified: 2014-03-11 (火) 02:00:03 (3697d)
|