Home Update クッキー及びWeb ビーコンについて



Chrootkitによるルートキット検出

Chrootkitの概要

chkrootkit は、マシン内にバックドアを仕掛ける際に利用されるルートキットを検出するためのツールです。ワームの検出以外に、プロミスキャスモードになっていないか、ログファイル「lastlog/wtmp」は改ざんされていないか、隠蔽されているプロセスはないかといった項目をチェックしてくれます。注意したいのは、chkrootkit は検出はするけれども、修復はしません。なので、なんらかの異常が検出が発見された場合は、直ちにネットワークを停止してなにが問題になっているのかを調査しましょう。




■Chkrootkit のダウンロード

Version chkrootkit-0.45
Homepage http://www.chkrootkit.org/
Download http://www.chkrootkit.org/download/
Install chkrootkit.tar.gz



■Chkrootkit のインストール

# tar xzvf chkrootkit.tar.gz
# cd chkrootkit-0.45/
# make sense

ファイルはインストールされないので、chkrootkit-0.45ディレクトリごと、/usr/local 内に移動しておくか、実行ファイルのchkrootkitを/usr/local/bin にでもコピーしておきます。

# mv chkrootkit-0.45/ /usr/local/
# cd /usr/local/chkrootkit-0.45/

■Chkrootkintの使い方

ソースを展開したディレクトリ内に chkrootkit という実行ファイルがあるのでそれを実行するだけでチェックが始まります。デフォルトでは全てのテストを行いますが、特定のテストだけ行いたい場合は、チェックしたいコマンドの名前をオプションとして付け加えます(例:./chkrootkit ifconfig)。なお、chkrootkit はroot でしか実行することができません。

# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected

ログ出力されたものをひとつづつチェックしていくのは大変なので、以下のようにして検出されたものだけを表示させるようにしておきましょう。

# ./chkrootkit | grep INFECTED

エラーが発生したものだけを出力したい場合は、-q オプションを付け加えます。

# ./chkrootkit -q
INFECTED (PORTS: 465)
eth0: PF_PACKET(/usr/sbin/dhcpd)


◎検査する項目(デフォルト)
# ./chkrootkit -l
./chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp amd basename biff chfn chsh cron date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write

ログに出力されるメッセージの意味は以下の通りです。

 INFECTED ルートキットが検出された
 not infected ルートキットが検出されなかった
 nothing found コマンドが見つからなかった
 not tested テストができなかった

■参考:Checking`bindshell'...INFECTED(PORTS:465)

チェックを実行した結果として、「Checking `bindshell'... INFECTED (PORTS: 465)」と検出されたものがあったので調べてみたところ、どうやらこれはSMTPS でPort465(Postfix をTLSで起動させている状態)がオープンしているために誤動作を起こしているようなので問題はないみたいです。

■chkrootkit の自動実行

chkrootkit を1日1回定刻に自動実行し、改ざんが検出された場合に限り、管理者のメールアドレス宛に警告メールを送信するように設定します。

# cd /etc/cron.daily/
# vi chkrootkit


#!/bin/sh

LOGFILE=/var/log/chkrootkit.log

/usr/local/chkrootkit/chkrootkit > $LOGFILE
grep "INFECTED" $LOGFILE

# chmod +x chkrootkit
# touch /var/log/chkrootkit.log
# chmod 600 /var/log/chkrootkit.log



■参考

⇒エンタープライズ:第3回 rootkit検出ツールによる検査 (1-6)







TOPに戻る

Sponcerd Link


Search
 
Web サイト内
Rental Server

【レンタルサーバのXbit】 低価格・高品質のビジネスクオリティー。300メガ1,050円〜30分で サービススタート可能!


容量300MB、月額125円、高性能なサーバが日本最大級のバックボーンに直結。
さくらのレンタルサーバ



当サイトはLinux自宅サーバーの構築を目的としたサイトです。
当サイトに関するご意見、ご要望等は、こちらのメールアドレスよりお願いします。
Beginning | Introduction | Installation | Server |
Security | Tips | Guest Book | Related-Sites
Copyright©2003-2006 KORO All Rights Reserved.
総計:
今日:
昨日: