futuremix

概要

chkrootkit は、rootkit を検出するためのツールです。rootkit とは、クラッカーが侵入に利用するための各種ツールをセットにしたものです。chkrootkit は、いくつかの rootkit を検出できますが、検出しても駆除する機能はありません。しかし、不正侵入検知に役立ちます。

ダウンロード

chkrootkit の Red Hat Linux 9 用 RPM が Fedora Project からリリースされていますので、これを利用してインストールします。本稿執筆時点での最新版は chkrootkit-0.43-0.fdr.4.rh90.i386.rpm

  # wget http://download.fedora.us/fedora/redhat/9/i386/RPMS.stable/chkrootkit-0.43-0.fdr.4.rh90.i386.rpm
  # rpm -ivh chkrootkit-0.43-0.fdr.4.rh90.i386.rpm

これだけでインストールは完了です。

検査の実行

検査の実行は、root で chkrootkit コマンドを実行するだけです。

  # /usr/sbin/chkrootkit

これで、各種 rootkit の検出を実行します。見つかった場合は、INFECTED と表示されます。

cron に登録して自動実行し、INFECTED が表示された場合は管理者にメールするように設定してみます。

  # vi /etc/cron.daily/chkrootkit

#!/bin/sh
/usr/sbin/chkrootkit | grep INFECTED > /var/log/chkrootkit
if [ -s LOGFILE ]; then
    cat $LOGFILE | mail -s "chkrootkit INFECTED" root
fi

  # chmod 755 /etc/cron.daily/chkrootkit

これで、改竄が検知された場合にのみ、管理者宛にメールが届きます。

補足

もちろん chkrootkit だけで対策が万能なわけではありません。他の rootkit 検出ツールや、tripwire などのファイル変更検知ツール、ウィルス対策ソフトなどを併用していく必要があります。

また、chkrootkit コマンドは、検査に ls、find、ps 等のコマンドを利用しますが、rootkit の中にはこれらのコマンドを置き換え、自身を検索できないようにするものもあります。

その対策のために、CD-R やフロッピーディスクなどにあらかじめ安全なコマンド群をコピーしておき、chkrootkit コマンドに -p オプションを付加するひとで、これらコマンド群を使用した検査を行なうことができます。

これについては、ITmedia の記事に詳しく書かれています。