読者です 読者をやめる 読者になる 読者になる

文系男子が日和るIT開発~IT知識なしで飛び込んだIT企業

文系男子だからIT企業に就職するなんて考えてもみませんでしたが、日和ながら日々くらいついています。

Cent OS 6.8でのrootkit対策ツール『chkrootkit』のインストールと検出テスト

rootkitとは、クラッカーなどがコンピュータに不正侵入し、その後の不正操作等を行うツール(パッケージ)です。
ログ改ざんツールやバックドアツール等が含まれることがあるようです。
もし侵入されるとその発見が困難になり、サーバ全体のセキュリティに大きな打撃を与えられます。

そのようなrrootkitを検出するための対策として、今回は

chkrootkit

を使用してみます。

 

chkrootkit

chkrootkit

 

定番のrootkit対策用のツールです。

http://www.chkrootkit.org/

 

yumでインストールします。 

yum -y install chkrootkit

[root@localhost ~]# yum -y install chkrootkit
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Determining fastest mirrors
epel/metalink | 5.2 kB 00:00
* base: ftp.tsukuba.wide.ad.jp
* epel: ftp.jaist.ac.jp
* extras: mirror.0x.sg
* remi-safe: mirror.innosol.asia
* updates: download.nus.edu.sg
base | 3.7 kB 00:00
epel | 4.3 kB 00:00
epel/primary_db | 5.0 MB 01:02
extras | 3.3 kB 00:01
remi-safe | 2.9 kB 00:00
remi-safe/primary_db | 44 kB 00:03
updates | 3.4 kB 00:00
updates/primary_db | 2.0 MB 00:28
Resolving Dependencies
--> Running transaction check
---> Package chkrootkit.i686 0:0.49-9.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================================================
Package Arch Version Repository Size
====================================================================================================================================
Installing:
chkrootkit i686 0.49-9.el6 epel 306 k

Transaction Summary
====================================================================================================================================
Install 1 Package(s)

Total download size: 306 k
Installed size: 745 k
Downloading Packages:
chkrootkit-0.49-9.el6.i686.rpm | 306 kB 00:04
warning: rpmts_HdrFromFdno: Header V3 RSA/SHA256 Signature, key ID 0608b895: NOKEY
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
Importing GPG key 0x0608B895:
Userid : EPEL (6) <epel@fedoraproject.org>
Package: epel-release-6-8.noarch (@extras)
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : chkrootkit-0.49-9.el6.i686 1/1
Verifying : chkrootkit-0.49-9.el6.i686 1/1

Installed:
chkrootkit.i686 0:0.49-9.el6

Complete!

 

chkrootkitの実行方法

chkrootkit

で実行することはできますが、結果がつらつら出力されて読みにくいかと思いますので、

chkrootkit  |  grep INFECTED

と実行するほうが、結果出力がシンプルに収まります。

実行結果は下記のとおり。

[root@localhost ~]# chkrootkit | grep INFECTED
[root@localhost ~]#

私のマシンではヒットしませんでしたので、
既存のrootkitに関しては検出されていない
ということが確認できました。

rootkit
新規のrootkitは検出されないということと、
また、誤検知もあるようなので、
参考程度にとどめておくのが良いようです。

もし、万が一、検出された場合は、 
初期化するのが最善のようです。

 

 

不正アクセス調査ガイド―rootkitの検出とTCTの使い方

不正アクセス調査ガイド―rootkitの検出とTCTの使い方