chkrootkit は、システムにrootkitが組み込まれていないかを検査してくれるツールで、 rootkit とは、不正アクセスの痕跡を消し去り、それを隠ぺいし、さらなる標的を攻撃することを可能とするツール群。 chkrootkit は、いくつかの rootkit を検出できるが、 検出しても駆除する機能はない。しかし、不正侵入検知に役立つ。
■chkrootkitのインストール
chkrootkitをインストール [root@linux ~]# yum -y install chkrootkit
■chkrootkitの実行
chkrootkitを実行 [root@linux ~]# chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected ・ ・ ・ Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... user root deleted or never logged from lastlog! Checking `chkutmp'... chkutmp: nothing deleted
実行結果中に"INFECTED"という行がなければ問題ない
■chkrootkitの実行(エラーのみ表示)
chkrootkitの実行(エラーのみ表示) [root@linux ~]# chkrootkit -q user root deleted or never logged from lastlog!
■chkrootkitの定期自動実行設定
rootkitを発見したときroot宛にメールが来るように設定
chkrootkitの実行スクリプトを作成 [root@linux ~]# vi /root/chkrootkit.sh #!/bin/sh /usr/bin/chkrootkit > /var/log/chkrootkit_log grep "INFECTED" /var/log/chkrootkit_log chmod 600 /var/log/chkrootkit_log
chkrootkitの実行スクリプトに実行権限を与える [root@linux ~]# chmod 700 /root/chkrootkit.sh cronを編集 [root@linux ~]# crontab -e 00 02 * * * /root/chkrootkit.sh 毎日2:00にchkrootkitの実行スクリプトを実行
Posted by higo at 00時16分00秒. category: rootkit検知(chkrootkit)
Comments
Add Comment