Cent OS 6.8でのrootkit対策ツール『chkrootkit』のインストールと検出テスト
rootkitとは、クラッカーなどがコンピュータに不正侵入し、その後の不正操作等を行うツール(パッケージ)です。
ログ改ざんツールやバックドアツール等が含まれることがあるようです。
もし侵入されるとその発見が困難になり、サーバ全体のセキュリティに大きな打撃を与えられます。
そのようなrrootkitを検出するための対策として、今回は
を使用してみます。
■chkrootkit
定番のrootkit対策用のツールです。
yumでインストールします。
yum -y install chkrootkit
[root@localhost ~]# yum -y install chkrootkit
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Determining fastest mirrors
epel/metalink | 5.2 kB 00:00
* base: ftp.tsukuba.wide.ad.jp
* epel: ftp.jaist.ac.jp
* extras: mirror.0x.sg
* remi-safe: mirror.innosol.asia
* updates: download.nus.edu.sg
base | 3.7 kB 00:00
epel | 4.3 kB 00:00
epel/primary_db | 5.0 MB 01:02
extras | 3.3 kB 00:01
remi-safe | 2.9 kB 00:00
remi-safe/primary_db | 44 kB 00:03
updates | 3.4 kB 00:00
updates/primary_db | 2.0 MB 00:28
Resolving Dependencies
--> Running transaction check
---> Package chkrootkit.i686 0:0.49-9.el6 will be installed
--> Finished Dependency ResolutionDependencies Resolved
====================================================================================================================================
Package Arch Version Repository Size
====================================================================================================================================
Installing:
chkrootkit i686 0.49-9.el6 epel 306 kTransaction Summary
====================================================================================================================================
Install 1 Package(s)Total download size: 306 k
Installed size: 745 k
Downloading Packages:
chkrootkit-0.49-9.el6.i686.rpm | 306 kB 00:04
warning: rpmts_HdrFromFdno: Header V3 RSA/SHA256 Signature, key ID 0608b895: NOKEY
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
Importing GPG key 0x0608B895:
Userid : EPEL (6) <epel@fedoraproject.org>
Package: epel-release-6-8.noarch (@extras)
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : chkrootkit-0.49-9.el6.i686 1/1
Verifying : chkrootkit-0.49-9.el6.i686 1/1Installed:
chkrootkit.i686 0:0.49-9.el6Complete!
■chkrootkitの実行方法
で実行することはできますが、結果がつらつら出力されて読みにくいかと思いますので、
chkrootkit | grep INFECTED
と実行するほうが、結果出力がシンプルに収まります。
実行結果は下記のとおり。
[root@localhost ~]# chkrootkit | grep INFECTED
[root@localhost ~]#
私のマシンではヒットしませんでしたので、
既存のrootkitに関しては検出されていない、
ということが確認できました。
rootkitは
新規のrootkitは検出されないということと、
また、誤検知もあるようなので、
参考程度にとどめておくのが良いようです。
もし、万が一、検出された場合は、
初期化するのが最善のようです。
不正アクセス調査ガイド―rootkitの検出とTCTの使い方
- 作者: 渡辺勝弘,伊原秀明
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2002/04
- メディア: 単行本
- 購入: 1人 クリック: 44回
- この商品を含むブログ (14件) を見る