はじめての自宅サーバ構築 - Fedora/CentOS - rootkit 検知ツールの導入(chkrootkit)

動作確認　[ FC1 / FC2 / FC3 / FC4 / FC5 / FC6 / Fedora7 / Fedora8 / Fedora9 / Fedora10 / Fedora11 / Fedora12 / Fedora13 / Fedora14 / Fedora15 / Fedora16 / Fedora17 / CentOS4 / CentOS5 ]

chkrootkitとは・・・
chkrootkitのインストール

FedoraCore1 / FedoraCore2 / FedoraCore3 / CentOS4 / CentOS5 の場合
FedoraCore4 以降の場合
chkrootkitの動作確認
chkrootkitの自動チェック化

■ chkrootkitとは・・・

chkrootkitとは、クラッカーが侵入したサーバにバックドアを作るために潜ませるrootkitプログラムの痕跡を検出するツールです。

■ chkrootkitのインストール

■ FedoraCore1 / FedoraCore2 / FedoraCore3 / CentOS4 / CentOS5 の場合

chkrootkitモジュールは日々バージョンアップしています。最新版は『chkrootkit.org』で確認してください。 chkrootkitのダウンロード # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz --14:32:51-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz => `chkrootkit.tar.gz' ftp.pangeia.com.br をDNSに問いあわせています... 完了しました。 ftp.pangeia.com.br[200.239.53.35]:21 に接続しています... 接続しました。 anonymous としてログインしています... ログインしました! ==> SYST ... 完了しました。 ==> PWD ... 完了しました。 ==> TYPE I ... 完了しました。 ==> CWD /pub/seg/pac ... 完了しました。 ==> PASV ... 完了しました。 ==> RETR chkrootkit.tar.gz ... 完了しました。長さ: 37,791 (確証はありません) 100%[====================================>] 37,791 7.09K/s ETA 00:00 14:33:04 (7.09 KB/s) - `chkrootkit.tar.gz' を保存しました [37791] ダウンロードしたファイルを展開 # tar zxvf chkrootkit.tar.gz chkrootkit-0.47 chkrootkit-0.47/ACKNOWLEDGMENTS chkrootkit-0.47/COPYRIGHT chkrootkit-0.47/Makefile chkrootkit-0.47/README 　　　　　：　　　　　：　　　　　： chkrootkit-0.47/chkrootkit.lsm chkrootkit-0.47/chkutmp.c chkrootkit-0.47/chkwtmp.c chkrootkit-0.47/ifpromisc.c chkrootkit-0.47/strings.c 展開されたパスへ移動してコンパイル # cd chkrootkit-0.47 # make sense gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c gcc -DHAVE_LASTLOG_H -D_FILE_OFFSET_BITS=64 -o ifpromisc ifpromisc.c gcc -o chkproc chkproc.c gcc -o chkdirs chkdirs.c gcc -o check_wtmpx check_wtmpx.c gcc -static -o strings-static strings.c gcc -o chkutmp chkutmp.c 実行パスへコピー # cp -p chkrootkit /usr/sbin/

■ FedoraCore4 以降の場合

# yum -y install chkrootkit

■ chkrootkitの動作確認

chkrootkitの実行 # chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected ：： Checking `w55808'... not infected Checking `wted'... nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... nothing deleted # 画面にに"INFECTED"が出力しなければ問題ありません

■ chkrootkitの自動チェック化

シェルスクリプトを作成 # vi /root/chkrootkit.sh #!/bin/sh echo "Job Name (chkrootkit.sh)" echo " 開始(`date +"%k時%M分%S秒"`)" /usr/sbin/chkrootkit > /var/log/chkrootkit.log grep INFECTED /var/log/chkrootkit.log rm -f /var/log/chkrootkit.log echo " 終了(`date +"%k時%M分%S秒"`)" 作成したシェルスクリプトに実行権を与える # chmod 700 /root/chkrootkit.sh プログラムを定期的に実行するcrondの設定ファイルを編集する # crontab -e 毎日06:00にrootkit検知チェックを行う 00 06 * * * /root/chkrootkit.sh

上記で、毎日6時になるとチェックを行うと、管理者宛に結果が送られてきます。(以下を参照)

Job Name (chkrootkit.sh)
開始( 6時00分00秒)
Checking `bindshell'... INFECTED (PORTS: 465)
終了( 6時00分16秒)
この時、bindshellが”INFECTED”になりますが、メールサーバ（SMTP）のPostfixに関連があるみたいです。
故に、『通信内容暗号化(OpenSSL & mod_SSL) ～メール編～』でポート番号465番(smtps： smtp protocol over TLS/SSL)を空けた場合です。
Postfixを停止し、再度chkrootkitを実行すると、”INFECTED”は出力されませんでした。
Web検索で”chkrootkit bindshell INFECTED”キーワードで検索してみると、このchkrootkitが誤った検出をしているらしいとの報告があるので、あまり気にしなくても良いと思います。

■ コンテンツ関連

■ その他

ページ先頭へ