rootkit検知ツール導入(chkrootkit)
  更新日:2011/10/26
<<ホームへ戻る

chkrootkitとは、クラッカーが侵入したサーバにバックドアを作るために潜ませるrootkitプログラムの痕跡を検出するツールです。

 
 
   
◆chkrootkitのインストール <<TOP

【CENTOS6の場合】

[root@server ~]# yum -y install chkrootkit ← yumで通常通りインストールできる
Installed:
  chkrootkit.i686 0:0.49-1.el6.rf

Complete!
[root@server ~]#
      

【CENTOS4,5の場合】

最新版はダウンロードサイトで確認すること。

[root@server ~]# wget http://jp.chkrootkit.org/download/chkrootkit-0.45.tar.gz
         ↑ chkrootkitダウンロード  
--20:24:37--  http://jp.chkrootkit.org/download/chkrootkit-0.45.tar.gz
           => `chkrootkit-0.45.tar.gz'
jp.chkrootkit.org をDNSに問いあわせています... 210.128.158.242
jp.chkrootkit.org|210.128.158.242|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 36,359 (36K) [application/x-tar]

100%[===========================================================>] 36,359        --.--K/s 

20:24:39 (382.10 KB/s) - `chkrootkit-0.45.tar.gz' を保存しました [36359/36359]

[root@server ~]# tar zxvf chkrootkit-0.45.tar.gz ← chkrootkit展開
chkrootkit-0.45/
chkrootkit-0.45/ifpromisc.c
chkrootkit-0.45/COPYRIGHT
      ・
      ・
      ・
chkrootkit-0.45/strings.c
chkrootkit-0.45/chkproc.c

[root@server ~]# cd chkrootkit-0.45 ← chkrootkit展開先ディレクトリへ移動

[root@server ~/chkrootkit-0.45]# make sense ← コンパイル
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
gcc -DHAVE_LASTLOG_H   -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
      ・
      ・
gcc  -o chkproc chkproc.c
gcc  -o chkdirs chkdirs.c
gcc  -o check_wtmpx check_wtmpx.c
gcc -static  -o strings-static strings.c
gcc  -o chkutmp chkutmp.c

[root@server ~/chkrootkit-0.45]# cd ← rootに戻る
[root@server ~]# cp -r chkrootkit-0.45 /usr/local/chkrootkit
         ↑ chkrootkit展開先ディレクトリを所定のディレクトリへコピー

[root@server ~]# rm -rf chkrootkit-0.45 ← chkrootkit展開先ディレクトリを削除

[root@server ~]# rm -f chkrootkit-0.45.tar.gz ← ダウンロードしたchkrootkitを削除

 

アフィリエイト リンクシェア ブログ 携帯対応 成果報酬 広告 テンプレート ブログパーツ
◆chkrootkit確認 <<TOP

【CCENTOS6の場合】
[root@server ~]# chkrootkit|grep INFECTED ← chkrootkit実行

        "INFECTED"という行が表示されなければ問題なし

[root@server ~]#
      

【CCENTOS4,5の場合】
[root@server ~]# cd /usr/local/chkrootkit/ ← chkrootkit格納ディレクトリへ移動

[root@server /usr/local/chkrootkit]# ./chkrootkit | grep INFECTED ← chkrootkit実行

             ↑ 上記chkrootkit実行結果として"INFECTED"という行が表示されなければ問題なし

[root@server /usr/local/chkrootkit]# cd ← chkrootkit格納ディレクトリを抜ける
[root@server ~]#

 

 

◆chkrootkit定期自動実行設定 <<TOP

 

[root@server ~]# vi chkrootkit ← chkrootkit実行スクリプト作成
#!/bin/bash

# chkrootkit実行
chkrootkit > /var/log/chkrootkit.log 2>&1

# SMTPSのbindshell誤検知対応
TMPLOG=`mktemp`
grep INFECTED /var/log/chkrootkit.log > $TMPLOG
if [ ! -z "$(grep 465 $TMPLOG)" ]; then
    if [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
    fi
fi

# chkrootkit実行結果にINFECTED行があった場合のみroot宛メール送信
if [ -s $TMPLOG ]; then
    cat $TMPLOG|mail -s "chkrootkit report in `hostname`" root
fi

rm -f $TMPLOG


[root@server ~]# chmod 700 chkrootkit ← chkrootkit実行スクリプトへ実行権限付加

[root@server ~]# mv chkrootkit /etc/cron.daily/
         ↑  chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ移動 
		  		  

これで毎日定期的にrootkitがインストールされていないかチェックされ、インストールされていた場合はroot宛にメールが届くようになる。また、chkrootkitの実行結果は/var/log/messagesに保存される。

 
 
   
◆広告等 <<TOP
   
 
   
TOPへ

Copyright(C) 2005-2011 arisonserver. All rights reserved.