Top > Install Log > CentOS6 > chkrootkit
AND OR

chkrootkitの設定

rootkit検出のためのツールとして、「chkrootkit」をインストールする。

ここの説明は、ほぼ「rootkit検知ツール導入(chkrootkit)」を参照している。

chkrootkitのインストール

EPELリポジトリから、chkrootkitをインストールする。

# yum --enablerepo=epel install chkrootkit

動作確認は、次のコマンドを実行。「INFECTED」という行が表示されなければ、rootkitを仕込まれてないことになる。

# chkrootkit | grep INFECTED

chkrootkitの自動実行の設定

chkrootkitが定期的に実行されるように、スクリプトを作成する。

# vi chkrootkit.sh

スクリプトの中身はこんな感じ。

#!/bin/bash

PATH=/usr/bin:/bin
TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

つぎに、作成したスクリプトが毎日に自動実行されるようにする。

# chmod 700 chkrootkit.sh
# mv chkrootkit.sh /etc/cron.daily/

実行結果はroot宛のメールで報告される。

参考URL


Reload   Diff   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes
Last-modified: Wed, 19 Mar 2014 21:23:57 HADT (3723d)