chkrootkitの導入

rootkitとはサーバーに不正侵入を行った攻撃者(ハッカー)が侵入を隠蔽する為のログ改ざんツールです。
次回侵入のために仕掛けておく裏口(バックドア)やネットワークを盗聴するスニッファシーや、侵入したサーバーを踏み台に
他のコンピュータを攻撃する為のツール等がパッケージされていたりする。

chkrootkitはこのようなrootkitを検出してくれるツールです。
サーバー構築直後に導入される事をお勧めします。


最新版はこちらで確認
# wget http://jp.chkrootkit.org/download/chkrootkit.tar.gz ← DLする

# tar zxvf chkrootkit.tar.gz ← 展開

# cd chkrootkit-0.47 ← 移動

# make sense ← インストール
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
gcc -DHAVE_LASTLOG_H -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c
gcc -o chkproc chkproc.c
gcc -o chkdirs chkdirs.c
gcc -o check_wtmpx check_wtmpx.c
gcc -static -o strings-static strings.c
gcc -o chkutmp chkutmp.c


# ./chkrootkit ← スキャンしてみる

rootkitが検出されなければ「not infected」と表示される
検出された場合は「INFECTED」と表示される


# cd ← /rootに戻る

# mv chkrootkit-0.47 /usr/local/bin/rootkit ← リネームして場所を移動

# rm -rf chkrootkit.tar.gz ← DLファイルの削除

毎日定期的にスキャンし検出時にroot宛へメールで知らせる




# vi rootkit.sh ← シェルスクリプトを作成

 i キー(入力モード)

#!/bin/sh
rootkit='/usr/local/bin/rootkit/chkrootkit'
LOG='/var/log/chkrootkit.log'
DISCOVERY='discovery'

$rootkit > $LOG
grep "INFECTED" $LOG > $DISCOVERY
if [ -s $DISCOVERY ];
then
cat $DISCOVERY|mail -s "rootkit discovery" root
fi
chmod 600 $LOG
rm -f $DISCOVERY


記載したら Esc キー(コマンドモード):wqで保存


# chmod 700 rootkit.sh ← 実行建を付加

# crontab -e ← Cronの編集
viエディタが開きますので下記のように登録してください。
 i キー(入力モード)

00 02 * * * /root/rootkit.sh ←例 これで毎日02:00分にスクリプトが実行されます。

記載したら Esc キー(コマンドモード):wqで保存

# /etc/rc.d/init.d/crond restart ←Cron を再起動





Copyright c Vine Linuxで自宅サーバー. 2004 All Rights Reserved.