chkrootkitのインストール

サーバーへの侵入者が使うrootkit（侵入したハッカーが次回侵入のために仕掛けておくバックドアやトロイの類）を検出するためのツールであるchkrootkitをインストールした時の備忘録。

注意としてはこのchkrootkitで全てのrootkitに対応している訳ではない事、
またクラックによってchkrootkitで使用されるlsなどが改竄された場合、chkrootkitでのスキャン結果は信用できないものになるということです（これを回避するためCDブートのLinuxを使ってchkrootkitを起動させる方法もあるらしいです、ここでは書きませんが･･･）。

しかしながらインストール自体はとても簡単なのでインストールしておいて損は無いと思います。

■ chkrootkitのダウンロード

まずchkrootkitをダウンロードしてきます。
以下のサイトよりchkrootkitをwgetもしくはクライアント側でダウンロードしてFTPなどでサーバーへ移動させて起きます。

日本のミラーサイトの方が何かと分かりやすいと思います。

■ インストールとchkrootkitの実行

 
chkrootkitをダウンロードしたら任意のディレクトリで展開、インストール。
自分は/usr/local/で作業しました。

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
（以下略）
こんな感じでログが表示されます、
rootkitが検出されない場合は「not infected」検出された場合は「INFECTED」と表示されます。

#cp -p chkrootkit /usr/local/bin/

■ cronでの実行

cronを使って一日一回chkrootkitを起動、スキャンするようにします。
/etc/cron.daily以下にシェルスクリプトを作成。

最終更新日： 2007年6月 4日(月曜日) 15:41 JST; 2,396 閲覧件数