chkrootkitの設定rootkit検出のためのツールとして、「chkrootkit」をインストールする。
chkrootkitのインストールEPELリポジトリから、chkrootkitをインストールする。 # yum --enablerepo=epel install chkrootkit
動作確認は、次のコマンドを実行。「INFECTED」という行が表示されなければ、rootkitを仕込まれてないことになる。
# chkrootkit | grep INFECTED
chkrootkitの自動実行の設定chkrootkitが定期的に実行されるように、スクリプトを作成する。# vi chkrootkit.sh
スクリプトの中身はこんな感じ。
#!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # chkrootkit実行 chkrootkit > $TMPLOG # ログ出力 cat $TMPLOG | logger -t chkrootkit # SMTPSのbindshell誤検知対応 if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # rootkit検知時のみroot宛メール送信 [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOGつぎに、作成したスクリプトが毎日に自動実行されるようにする。 # chmod 700 chkrootkit.sh # mv chkrootkit.sh /etc/cron.daily/実行結果はroot宛のメールで報告される。 参考URL |