rootkit対策ツール『chkrootkit』が使用するコマンドを
rootkitにより改ざんされてしまうと、chkrootkitの実行が意味をなさなくってしまいます。
そのため、chkrootが実行するコマンド群を別途退避させておく、
というリスケ軽減策をとるのが、定石のようです。

退避するコマンドは、

 下記13コマンド。

• awk
• cut
• echo
• egrep
• find
• head
• id
• ls
• netstat
• ps
• strings
• sed
• uname

これらのコマンドをwhichコマンドで探して別ワークディレクトリに退避させます。

cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` workdir/

参考：

[root@localhost ~]# which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed ssh uname
/bin/awk
/bin/cut
/bin/echo
/bin/egrep
/bin/find
/usr/bin/head
/usr/bin/id
/bin/ls
/bin/netstat
/bin/ps
/usr/bin/strings
/bin/sed
/usr/bin/ssh
/bin/uname

ワークディレクトリに退避したコマンドが実行できるかを確認します。

chkrootkitコマンドにはオプション「-p」があり、
別のメディアにある外部コマンドを利用したい場合に使用します。

chkrootkit -p  workdir |grep INFECTED

後は、使用コマンドを退避させたワークディレクトリをzipやtgz等に固め圧縮し、
信頼できる管理者にメールして退避しておきます。

最終的に、ワークディレクトリに退避させたコマンドは削除しても問題ないかと思います。

もしコマンドが改ざん等されていた場合は、
その固めて圧縮したファイルを元に戻すようにすればよいでしょう。

不正アクセス調査ガイド―rootkitの検出とTCTの使い方

• 作者: 渡辺勝弘,伊原秀明
• 出版社/メーカー: オライリー・ジャパン
• 発売日: 2002/04
• メディア: 単行本
• 購入: 1人 クリック: 44回
• この商品を含むブログ (14件) を見る