| chkrootkitの導入 |
rootkitとはサーバーに不正侵入を行った攻撃者(ハッカー)が侵入を隠蔽する為のログ改ざんツールです。
次回侵入のために仕掛けておく裏口(バックドア)やネットワークを盗聴するスニッファシーや、侵入したサーバーを踏み台に
他のコンピュータを攻撃する為のツール等がパッケージされていたりする。
chkrootkitはこのようなrootkitを検出してくれるツールです。
サーバー構築直後に導入される事をお勧めします。
最新版はこちらで確認 # wget http://jp.chkrootkit.org/download/chkrootkit.tar.gz ← DLする # tar zxvf chkrootkit.tar.gz ← 展開 # cd chkrootkit-0.47 ← 移動 # make sense ← インストール gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c gcc -DHAVE_LASTLOG_H -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c gcc -o chkproc chkproc.c gcc -o chkdirs chkdirs.c gcc -o check_wtmpx check_wtmpx.c gcc -static -o strings-static strings.c gcc -o chkutmp chkutmp.c # ./chkrootkit ← スキャンしてみる rootkitが検出されなければ「not infected」と表示される 検出された場合は「INFECTED」と表示される # cd ← /rootに戻る # mv chkrootkit-0.47 /usr/local/bin/rootkit ← リネームして場所を移動 # rm -rf chkrootkit.tar.gz ← DLファイルの削除 |
| 毎日定期的にスキャンし検出時にroot宛へメールで知らせる |
# vi rootkit.sh ← シェルスクリプトを作成 i キー(入力モード) #!/bin/sh rootkit='/usr/local/bin/rootkit/chkrootkit' LOG='/var/log/chkrootkit.log' DISCOVERY='discovery' $rootkit > $LOG grep "INFECTED" $LOG > $DISCOVERY if [ -s $DISCOVERY ]; then cat $DISCOVERY|mail -s "rootkit discovery" root fi chmod 600 $LOG rm -f $DISCOVERY 記載したら Esc キー(コマンドモード):wqで保存 # chmod 700 rootkit.sh ← 実行建を付加 # crontab -e ← Cronの編集 viエディタが開きますので下記のように登録してください。 i キー(入力モード) 00 06 * * * /root/rootkit.sh ←例 これで毎日02:00分にスクリプトが実行されます。 記載したら Esc キー(コマンドモード):wqで保存 # /etc/rc.d/init.d/crond restart ←Cron を再起動 |
Copyright c Vine Linuxで自宅サーバー. 2004 All Rights Reserved.