rootkit とは?
クラッカーが使用する、不正侵入の証拠や再侵入を行うための証拠隠蔽・各種改ざんするツールがパッケージされたものを指す。
rootkit は、OS コマンドを置き換えたり、カーネルモジュールとして OS コマンドの機能を妨害するため、発見が難しい。
Windows, UNIX, Linux, Mac などあらゆる OS、プラットフォームにて開発されている。
自分のサーバーのプラットフォームの rootkit を探してみるとおもしろい?
chkrootkit とは?
rootkit を検出するためのツール。自分のサーバーに仕掛けられていないか、チェックしよう。
chkrootkit のインストール
RPM パッケージがないのでソースからインストールする。
ワークディレクトリに移動する。
プログラムソースと MD5 をダウンロードする。
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit-0.43.tar.gz
# wget --passive-ftp \
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
MD5 でファイルの完全性を確認する。
chkrootkit-0.43.tar.gz: OK
ソースを展開する。
コンパイルする。
# make
やってみる
chkrootkit 実行してみる。(root 権限が必要)
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
:
(途中省略)
:
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted
全部見てると大変なので…
Checking `bindshell'... INFECTED (PORTS: 465)
なにも引っかからないはずなのに…なんか見つかってしまった…(ドキドキ…);
調べてみたら、SMTPS で Port: 465 がオープンしているからっぽい。
qmail を停止して、もう一度、chkrootkit を実行すると、何も検出されなかった。
無視してもよいっぽい。(よかったよかった…)
運用のために。。。
- 常に最新のchkrootkit を使用すること。
- 定期的なチェックを行うこと。
