もしサーバに不正ログイン等された場合、侵入者はログの改ざんやバックドアの設置、システムコマンドの改ざん等を行おうとするわけですが、実際侵入してから一々やっていたのでは時間がかかってしまいます。そのため、侵入者はrootkitとよばれるツールをインストールし、それらを一斉に実行させてしまおうとします。
それらツールを検知してしまおうというものがchkrootkitと呼ばれるものですが、あくまで既出のrootkitにのみ対応するということを念頭にいれておきましょう。また、これはできるだけサーバ新規導入時にやっておくほうが効果的です。
さて、実際にインストールですが、
yumを使う場合
yumを使わない(使えない)場合
インストールが完了したら実行スクリプトを作成する。
上記スクリプトを実行することで一通りの検出ができる。なにか異常があった場合はINFECTEDという文字が/var/log/chkrootkit.logに記録されている。
また、以下にOSインストール直後に取得したchkrootkitの実行に必要なコマンドを用意してみました。すでに運用済みのサーバ等では利用してみるのも有効かもしれません。
・Fedora10(x86)用(540482byte)
・Fedora9(x86)用(540435byte)
それらツールを検知してしまおうというものがchkrootkitと呼ばれるものですが、あくまで既出のrootkitにのみ対応するということを念頭にいれておきましょう。また、これはできるだけサーバ新規導入時にやっておくほうが効果的です。
さて、実際にインストールですが、
yumを使う場合
| #yum -y install chkrootkit |
yumを使わない(使えない)場合
| #cd #作業フォルダへ移行 #wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz #tar xzvf chkrootkit.tar.gz #cd ./chkrootkit-0.48 #make sense |
| #!/bin/sh LOGFILE="/var/log/chkrootkit.log" NOWTIME=`date +"%Y%m%d %T"` echo "$NOWTIME CHKROOTKIT START" >> $LOGFILE chkrootkit -q >> $LOGFILE #yumでインストールした場合 cd /root/tmp/chkrootkit-0.48 #yumを使わなかった場合(作業フォルダとバージョンに注意) ./chkrootkit -q >> $LOGFILE #yumを使わなかった場合 echo "$NOWTIME CHKROOTKIT END" >> $LOGFILE |
上記スクリプトを実行することで一通りの検出ができる。なにか異常があった場合はINFECTEDという文字が/var/log/chkrootkit.logに記録されている。
また、以下にOSインストール直後に取得したchkrootkitの実行に必要なコマンドを用意してみました。すでに運用済みのサーバ等では利用してみるのも有効かもしれません。
・Fedora10(x86)用(540482byte)
・Fedora9(x86)用(540435byte)
投票数:153
平均点:7.12
 起動時に「GRUB」と表示されOSが起動しない |
 その他 |
 Intel D945GCLF2 にCentOSをインストールするとNICの動作が不安定になる[CentOS5.5] |