rootkit検知ツール導入(chkrootkit)
合計:
昨日:
今日:
更新日:2013/9/10
<<ホームへ戻る

chkrootkitとは、クラッカーが侵入したサーバにバックドアを作るために潜ませるrootkitプログラムの痕跡を検出するツールです。

 
 
◆chkrootkitのインストール <<TOP

@、CENTOS6(64ビット)の場合

EPELリポジトリを導入する

[root@server ~]# yum -y install chkrootkit ← chkrootkitのインストール
   ・
   ・
   ・
Dependencies Resolved

================================================================================================
 Package                 Arch                Version                    Repository         Size
================================================================================================
Installing:
 chkrootkit              x86_64              0.49-2.el6                 epel              303 k

Transaction Summary
================================================================================================
Install       1 Package(s)

Total download size: 303 k
Installed size: 789 k
Downloading Packages:
chkrootkit-0.49-2.el6.x86_64.rpm                                         | 303 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : chkrootkit-0.49-2.el6.x86_64                                                 1/1 
  Verifying  : chkrootkit-0.49-2.el6.x86_64                                                 1/1 

Installed:
  chkrootkit.x86_64 0:0.49-2.el6                                                                

Complete!
[root@centos ~]#

      

Acentos5の場合

最新版はダウンロードサイトで確認すること。

[root@server ~]# wget http://jp.chkrootkit.org/download/chkrootkit-0.45.tar.gz
         ↑ chkrootkitダウンロード  
--20:24:37--  http://jp.chkrootkit.org/download/chkrootkit-0.45.tar.gz
           => `chkrootkit-0.45.tar.gz'
jp.chkrootkit.org をDNSに問いあわせています... 210.128.158.242
jp.chkrootkit.org|210.128.158.242|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 36,359 (36K) [application/x-tar]

100%[===========================================================>] 36,359        --.--K/s             

20:24:39 (382.10 KB/s) - `chkrootkit-0.45.tar.gz' を保存しました [36359/36359]

[root@server ~]# tar zxvf chkrootkit-0.45.tar.gz ← chkrootkit展開
chkrootkit-0.45/
chkrootkit-0.45/ifpromisc.c
chkrootkit-0.45/COPYRIGHT
      ・
      ・
      ・
chkrootkit-0.45/strings.c
chkrootkit-0.45/chkproc.c

[root@server ~]# cd chkrootkit-0.45 ← chkrootkit展開先ディレクトリへ移動

[root@server ~/chkrootkit-0.45]# make sense ← コンパイル
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
gcc -DHAVE_LASTLOG_H   -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
      ・
      ・
gcc  -o chkproc chkproc.c
gcc  -o chkdirs chkdirs.c
gcc  -o check_wtmpx check_wtmpx.c
gcc -static  -o strings-static strings.c
gcc  -o chkutmp chkutmp.c

[root@server ~/chkrootkit-0.45]# cd ← rootに戻る
[root@server ~]# cp -r chkrootkit-0.45 /usr/local/chkrootkit
         ↑ chkrootkit展開先ディレクトリを所定のディレクトリへコピー

[root@server ~]# rm -rf chkrootkit-0.45 ← chkrootkit展開先ディレクトリを削除

[root@server ~]# rm -f chkrootkit-0.45.tar.gz ← ダウンロードしたchkrootkitを削除

 

◆chkrootkit確認 <<TOP

@、CENTOS6(64bit)の場合

[root@server ~]# chkrootkit | grep INFECTED ← chkrootkitの実行
         ↑ 結果として"INFECTED"が表示されなければOK

[root@centos ~]# 

		  

A、centos5の場合

[root@server ~]# cd /usr/local/chkrootkit/ ← chkrootkit格納ディレクトリへ移動

[root@server /usr/local/chkrootkit]# ./chkrootkit | grep INFECTED ← chkrootkit実行

             ↑ 上記chkrootkit実行結果として"INFECTED"という行が表示されなければ問題なし

[root@server /usr/local/chkrootkit]# cd ← chkrootkit格納ディレクトリを抜ける
[root@server ~]#

 

 

◆chkrootkit定期自動実行設定 <<TOP

 

[root@server ~]# vi chkrootkit ← chkrootkit実行スクリプト作成
#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# chkrootkit実行
/usr/local/chkrootkit/chkrootkit > $TMPLOG ← centos5(makeの場合)

/usr/sbin/chkrootkit > $TMPLOG ← centos6(yumインストールの場合)

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root		  

rm -f $TMPLOG

[root@server ~]# chmod 700 chkrootkit ← chkrootkit実行スクリプトへ実行権限付加

[root@server ~]# mv chkrootkit /etc/cron.daily/
         ↑  chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ移動         
		  		  

これで毎日定期的にrootkitがインストールされていないかチェックされ、インストールされていた場合はroot宛にメールが届くようになる。また、chkrootkitの実行結果は/var/log/messagesに保存される。

 
 
  <<TOP
 
 
TOPへ

Copyright(C) 2005-2013 arisonserver. All rights reserved.