chkrootkitのインストール

サーバーへの侵入者が使うrootkit（侵入したハッカーが次回侵入のために仕掛けておくバックドアやトロイの類）を検出するためのツールであるchkrootkitをインストールした時の備忘録。

注意としてはこのchkrootkitで全てのrootkitに対応している訳ではない事、
またクラックによってchkrootkitで使用されるlsなどが改竄された場合、chkrootkitでのスキャン結果は信用できないものになるということです（これを回避するためCDブートのLinuxを使ってchkrootkitを起動させる方法もあるらしいです、ここでは書きませんが･･･）。

しかしながらインストール自体はとても簡単なのでインストールしておいて損は無いと思います。

■ chkrootkitのダウンロード

まずchkrootkitをダウンロードしてきます。
以下のサイトよりchkrootkitをwgetもしくはクライアント側でダウンロードしてFTPなどでサーバーへ移動させて起きます。

日本のミラーサイトの方が何かと分かりやすいと思います。

■ インストールとchkrootkitの実行

 
chkrootkitをダウンロードしたら任意のディレクトリで展開、インストール。
自分は/usr/local/で作業しました。

# tar zxvf chkrootkit.tar.gz

# cd chkrootkit-0.46a/

# make sense

インストール自体はこれで終了、次にchkrootkitを実行

# ./chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected （以下略） こんな感じでログが表示されます、 rootkitが検出されない場合は「not infected」検出された場合は「INFECTED」と表示されます。 #cp -p chkrootkit /usr/local/bin/

■ cronでの実行

cronを使って一日一回chkrootkitを起動、スキャンするようにします。
/etc/cron.daily以下にシェルスクリプトを作成。

# vi /etc/cron.daily/chkrootkit 以下のように編集。 #!/bin/sh /usr/local/bin/chkrootkit  > /var/log/chkrootkit.log grep "INFECTED" /var/log/chkrootkit.log | mail -s "chkrootkit log" root chmod 600 /var/log/chkrootkit.log # chmod 700 chkrootkit

PC書き溜め備忘録
http://spinel.sytes.net/~bibou//staticpages/index.php/chk