Skip to content

CentOS7でルートキット検出(chkrootkit)

Posted in CentOS7

OSをインストールして極力すぐ導入したいのがchkrootkitです。
これは、ルートキットを検知するためのツールです。あくまで検知なので、検知された場合その後の対処は人力で行う必要があります。
(ルートキットとは悪意の第三者がサーバに侵入後、ログ・コマンドの改ざんを行いサーバ管理者の目を誤魔化したり、再侵入のための経路の確保をするためのプログラム群を指します。いわゆるバックドアをサポートする「キット」なわけです。)

実はこのchkrootkit。ネット上に転がっている導入手順が全く一緒だったりします。
まぁ問題は無いんですけど・・おまっ、コピペしただろ!って内容ばかりなので暇な方は調べてみてください。
(かく言う私もネットで拾ってきたソースを問題ないか確認して、そのままの内容で運用しています。)
そして、コピペした内容を書きます!(大声)
まぁ備忘録が主な目的だから良いよね・・・。


chkrootkitはyumにないのでソースを拾ってきてコンパイル・配置します。

試しに実行してみます。

感染の疑いがあると
(Searching for Suckit rootkit… Warning: /sbin/init INFECTED)
のように表示されます。(↑は誤検知ですが)

毎日chkrootkitを実行するようなスクリプトを書きます(超コピペ)

実行権限をつけます。

ハイ、特に言うことありません。だって皆同じソース書いているんだもの・・・

実はこのchkrootkitはここ数年最新版に更新されていません。
つまり、最新のルートキットには対応出来ていない(と思う)のです。

更にルートキット検知の精度を上げたい!という方は、rkhunter(RootKit Hunter)を導入することをおすすめします。
epelに登録されているので、リポジトリさえ入れていればyum一発で入れることができます。

デフォルトだと誤検出もあるようなので初期設定は必要ですが、yumで入れれば定期実行のファイも作ってくれますし、confファイルで設定を書き換えられたりと結構使い勝手が良いです。
特徴としては、アンチウイルスソフトのように定義ファイル(?)をダウンロードしてスキャンする仕組みを取っています。

とはいえ当然駆除のためのツールではありませんので、検知した後は自分でなんとかするしかないですけど、比較的更新頻度が高いルートキット検出ツールなので、より安心かもしれません。

Comments are closed.