chkrootkit でクラックを発見する。 for Red Hat Enterprise Linux 3

  Linux

rootkit とは?
 クラッカーが使用する、不正侵入の証拠や再侵入を行うための証拠隠蔽・各種改ざんするツールがパッケージされたものを指す。
 rootkit は、OS コマンドを置き換えたり、カーネルモジュールとして OS コマンドの機能を妨害するため、発見が難しい。
 Windows, UNIX, Linux, Mac などあらゆる OS、プラットフォームにて開発されている。
 自分のサーバーのプラットフォームの rootkit を探してみるとおもしろい?


chkrootkit とは?
 rootkit を検出するためのツール。自分のサーバーに仕掛けられていないか、チェックしよう。


chkrootkit のインストール
 RPM パッケージがないのでソースからインストールする。

 ワークディレクトリに移動する。

# cd /usr/local/src/

 プログラムソースと MD5 をダウンロードする。

# wget --passive-ftp \
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.43.tar.gz
# wget --passive-ftp \
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

 MD5 でファイルの完全性を確認する。

# md5sum --check chkrootkit.md5
chkrootkit-0.43.tar.gz: OK

 ソースを展開する。

# tar zxvf chkrootkit-0.43.tar.gz

 コンパイルする。

# cd chkrootkit-0.43/
# make

やってみる
chkrootkit 実行してみる。(root 権限が必要)

# ./chkrootkit
ROOTDIR is `/'

Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found

:
(途中省略)
:
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

 全部見てると大変なので…

# ./chkrootkit | grep INFECTED
Checking `bindshell'... INFECTED (PORTS: 465)

 なにも引っかからないはずなのに…なんか見つかってしまった…(ドキドキ…);
 調べてみたら、SMTPS で Port: 465 がオープンしているからっぽい。
 qmail を停止して、もう一度、chkrootkit を実行すると、何も検出されなかった。
 無視してもよいっぽい。(よかったよかった…)


運用のために。。。

  • 常に最新のchkrootkit を使用すること。
  • 定期的なチェックを行うこと。

参考文書
 chkrootkit — locally checks for signs of a rootkit