TITLE:chkrootkitの設定 *chkrootkitの設定 [#ua604202] rootkit検出のためのツールとして、「[[chkrootkit:http://www.chkrootkit.org/]]」をインストールする。 > ここの説明は、ほぼ「[[rootkit検知ツール導入(chkrootkit):http://centossrv.com/chkrootkit.shtml]]」を参照している。 < **chkrootkitのインストール [#t74570d3] EPELリポジトリから、chkrootkitをインストールする。 # yum --enablerepo=epel install chkrootkit 動作確認は、次のコマンドを実行。「INFECTED」という行が表示されなければ、rootkitを仕込まれてないことになる。 # chkrootkit | grep INFECTED **chkrootkitの自動実行の設定 [#xe46e8f2] chkrootkitが定期的に実行されるように、スクリプトを作成する。 # vi chkrootkit.sh スクリプトの中身はこんな感じ。 #!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # chkrootkit実行 chkrootkit > $TMPLOG # ログ出力 cat $TMPLOG | logger -t chkrootkit # SMTPSのbindshell誤検知対応 if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # rootkit検知時のみroot宛メール送信 [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG つぎに、作成したスクリプトが毎日に自動実行されるようにする。 # chmod 700 chkrootkit.sh # mv chkrootkit.sh /etc/cron.daily/ 実行結果はroot宛のメールで報告される。 **参考URL [#r16bccbf] -http://centossrv.com/chkrootkit.shtml |