読者です 読者をやめる 読者になる 読者になる

文系男子が日和るIT開発~IT知識なしで飛び込んだIT企業

文系男子だからIT企業に就職するなんて考えてもみませんでしたが、日和ながら日々くらいついています。

rootkit対策ツール『chkrootkit』の使用コマンドの退避

セキュリティ CentOS

rootkit対策ツール『chkrootkit』が使用するコマンドを
rootkitにより改ざんされてしまうと、chkrootkitの実行が意味をなさなくってしまいます。
そのため、chkrootが実行するコマンド群を別途退避させておく、
というリスケ軽減策をとるのが、定石のようです。

退避するコマンドは、

 下記13コマンド。

 

 

これらのコマンドをwhichコマンドで探して別ワークディレクトリに退避させます。

cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` workdir/

 

参考:

[root@localhost ~]# which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed ssh uname
/bin/awk
/bin/cut
/bin/echo
/bin/egrep
/bin/find
/usr/bin/head
/usr/bin/id
/bin/ls
/bin/netstat
/bin/ps
/usr/bin/strings
/bin/sed
/usr/bin/ssh
/bin/uname

ワークディレクトリに退避したコマンドが実行できるかを確認します。

chkrootkitコマンドにはオプション「-p」があり、
別のメディアにある外部コマンドを利用したい場合に使用します。

chkrootkit -p  workdir |grep INFECTED

後は、使用コマンドを退避させたワークディレクトリをzipやtgz等に固め圧縮し、
信頼できる管理者にメールして退避しておきます。

最終的に、ワークディレクトリに退避させたコマンドは削除しても問題ないかと思います。

 

もしコマンドが改ざん等されていた場合は、
その固めて圧縮したファイルを元に戻すようにすればよいでしょう。

 

 

不正アクセス調査ガイド―rootkitの検出とTCTの使い方

不正アクセス調査ガイド―rootkitの検出とTCTの使い方