メインメニュー

連続稼働時間

本サーバは
100日間と10時間32分
連続稼動しています

広告

トップ  >  CentOS・Fedora  >  その他  >  rootkit検知ツール chkrootkitの導入
もしサーバに不正ログイン等された場合、侵入者はログの改ざんやバックドアの設置、システムコマンドの改ざん等を行おうとするわけですが、実際侵入してから一々やっていたのでは時間がかかってしまいます。そのため、侵入者はrootkitとよばれるツールをインストールし、それらを一斉に実行させてしまおうとします。

それらツールを検知してしまおうというものがchkrootkitと呼ばれるものですが、あくまで既出のrootkitにのみ対応するということを念頭にいれておきましょう。また、これはできるだけサーバ新規導入時にやっておくほうが効果的です。

さて、実際にインストールですが、
yumを使う場合
#yum -y install chkrootkit

yumを使わない(使えない)場合
#cd         #作業フォルダへ移行
#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
#tar xzvf chkrootkit.tar.gz
#cd ./chkrootkit-0.48
#make sense
インストールが完了したら実行スクリプトを作成する。
#!/bin/sh
LOGFILE="/var/log/chkrootkit.log"
NOWTIME=`date +"%Y%m%d %T"`
echo "$NOWTIME CHKROOTKIT START" >> $LOGFILE
chkrootkit -q >> $LOGFILE     #yumでインストールした場合
cd /root/tmp/chkrootkit-0.48    #yumを使わなかった場合(作業フォルダとバージョンに注意)
./chkrootkit -q >> $LOGFILE   #yumを使わなかった場合
echo "$NOWTIME CHKROOTKIT END" >> $LOGFILE


上記スクリプトを実行することで一通りの検出ができる。なにか異常があった場合はINFECTEDという文字が/var/log/chkrootkit.logに記録されている。

また、以下にOSインストール直後に取得したchkrootkitの実行に必要なコマンドを用意してみました。すでに運用済みのサーバ等では利用してみるのも有効かもしれません。

Fedora10(x86)用(540482byte)
Fedora9(x86)用(540435byte)
プリンタ用画面
投票数:115 平均点:7.91
前
起動時に「GRUB」と表示されOSが起動しない
カテゴリートップ
その他
次
Intel D945GCLF2 にCentOSをインストールするとNICの動作が不安定になる[CentOS5.5]