22.rootkit検知(chkrootkit)」カテゴリーアーカイブ

rootkit検知ツール(chkrootkit)

■ FC2~FC6 / Fedora7 / Fedora8 / Fedora9
chkrootkit は、システムにrootkitが組み込まれていないかを検査してくれるツールで、 rootkit とは、不正アクセスの痕跡を消し去り、それを隠ぺいし、さらなる標的を攻撃することを可能とするツール群。 chkrootkit は、いくつかの rootkit を検出できるが、 検出しても駆除する機能はない。しかし、不正侵入検知に役立つ。
■chkrootkitのインストール

chkrootkitをインストール
[root@linux ~]# yum -y install chkrootkit

■chkrootkitの実行

chkrootkitを実行
[root@linux ~]# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
・
・
・
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user root deleted or never logged from lastlog!
Checking `chkutmp'... chkutmp: nothing deleted

実行結果中に”INFECTED”という行がなければ問題ない
■chkrootkitの実行(エラーのみ表示)

chkrootkitの実行(エラーのみ表示)
[root@linux ~]# chkrootkit -q
user root deleted or never logged from lastlog!

■chkrootkitの定期自動実行設定
rootkitを発見したときroot宛にメールが来るように設定

chkrootkitの実行スクリプトを作成
[root@linux ~]# vi /root/chkrootkit.sh
#!/bin/sh
/usr/bin/chkrootkit > /var/log/chkrootkit_log
grep "INFECTED" /var/log/chkrootkit_log
chmod 600 /var/log/chkrootkit_log
chkrootkitの実行スクリプトに実行権限を与える
[root@linux ~]# chmod 700 /root/chkrootkit.sh
cronを編集
[root@linux ~]# crontab -e
00 02 * * * /root/chkrootkit.sh
毎日2:00にchkrootkitの実行スクリプトを実行