schkrootkitのインストール
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
chkrootkit.tar.gzを展開する
# tar zxvf chkrootkit.tar.gz
実行ファイルを/binに移動する
# mkdir -p ~/bin && mv chkrootkit-0.50/chkrootkit ~/bin
ダウンロードしたファイルと展開先ディレクトリーを削除
# rm -f chkrootkit.tar.gz
# rm -rf chkrootkit-0.50
chkrootkitの実行
# chkrootkit | grep INFECTED
変なファイルが無ければ、何も表示されないが
Searching for Linux.Xor.DDoS … INFECTED: Possible Malicious Linux.Xor.DDoS installed
と表示された!!
私の先生のcentossrv.comの質問掲示板にも同様の書き込みがhttps://centossrv.com/patio/centossrv.cgi?read=3066
ここを見ると、どうも誤検知みたいだ。
# find /tmp -executable -type f
/tmp/ks-script-DuXVBx と表示された。
このks-script-DuXVBxの実行権限を外して、再度
# chkrootkit | grep INFECTED
では何も表示されなかった。
毎日chkrootkitを動かすスクリプトを作る
# gedit /etc/cron.daily/chkrootkit
#!/bin/sh
PATH=/usr/bin:/bin:/root/bin
LOG=/tmp/$(basename ${0})
# chkrootkit実行
chkrootkit > $LOG 2>&1
# ログ出力
cat $LOG | logger -t $(basename ${0})
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $LOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $LOG
fi
# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $LOG)" ] && \
[ -z "$(rpm -V rpm -qf /sbin/init)" ]; then
sed -i '/Suckit/d' $LOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $LOG)" ] && \
grep INFECTED $LOG | mail -s "chkrootkit report in hostname" root
これで万が一 rootkitがインストールされ場合はメールが来る。
この後、https://centossrv.com/chkrootkit.shtml
を参考にコマンド群の退避を行っておく。
フジマル について
1947年生れ、東京電機大学二部電気通信工学科卒、最後はスリランカ航空で営業だったのですが2018年に㈱インパック・ジャパンに再就職。趣味:登山、スキー、車いじり、コンピューター
