悪さをするrootkit を検出する、chkrootkit を搭載します。
rootkitとは,侵入したシステムを悪用しやすいように改変するツールの総称であり、
いくつかのプログラムを組み合わせて作られています。
chkrootkit はrootkitおよびワームの検出以外にも、
ネットワークインターフェースがプロミスキャスモードになっていないか、
ログファイル lastlog/wtmp が改ざんされていないか、
隠蔽されているプロセスはないか、などの不正内容をチェックすることができます。
仕込まれたプログラムをすべて見つけ出すことは出来なかったり、
検出しても駆除する機能が無いなど、万能ではありませんが、不正侵入検知に一役です。
①chkrootkit の導入
GNOME端末より
# su + 管理者権限パスワード
# yum install chkrootkit
# chkrootkit -q
→ chkrootkitを実行します。(条件を付与しエラーのみ表示してみます)
* INFECTED だけの付いた箇所が在ると問題発生です。
②chkrootkit の定期自動実行設定
GNOME端末より
# vi /root/chkrootkit.sh
-------------- 作成内容 --------------
#!/bin/sh
/usr/bin/chkrootkit > /var/log/chkrootkit_log
grep "INFECTED" /var/log/chkrootkit_log
chmod 600 /var/log/chkrootkit_log
-------------------------------------------
# chmod 700 /root/chkrootkit.sh → 実行権限付与
# crontab -e → 定期自動実行設定
* 毎日 4:00 時に chkrootkit のスクリプトを実行します。
* 実行結果は /var/log/chkrootkit.log に保存されます。
# mkdir chkrootkitcmd
→ chkrootkitコマンド退避先ディレクトリ作成
(chkrootkitコマンドまでもが改ざんされる恐れがあるので
サーバー外へ退避する準備をします。)
# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` chkrootkitcmd/
→ chkrootkit のコマンド群を退避先ディレクトリへコピーします。
# zip -r chkrootkitcmd.zip chkrootkitcmd/ → chkrootkitコマンドを圧縮します。
# yum -y install sharutils → uuencodeをインストール
* mailコマンドでzipファイルを添付したメールを送信するのに必要
# uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail -s chkrootkitcmd root
→ 圧縮したファイルを root宛 にメール送信します。
# rm -rf chkrootkitcmd → chkrootkit使用コマンド退避先ディレクトリ削除
# rm -f chkrootkitcmd.zip → 圧縮ファイルを削除します。
万全で無いところがミソですが、
これで少し安心が増えました。
コメントする