rootkit検知ツール chkrootkit
[root@falcon21 ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
[root@falcon21 ~]# tar zxvf chkrootkit.tar.gz
[root@falcon21 ~]# mkdir -p ~/bin && mv chkrootkit-0.50/chkrootkit ~/bin
[root@falcon21 ~]# rm -rf chkrootkit-0.50/
[root@falcon21 ~]# rm -f chkrootkit.tar.gz
chkrootkit実行
[root@falcon21 ~]# chkrootkit | grep INFECTED
Checking `bindshell'... INFECTED PORTS: ( 465) // 誤検知
-----------------------
chkrootkit定期自動実行設定
[root@falcon21 ~]# vi /etc/cron.daily/chkrootkit
#!/bin/sh
PATH=/usr/bin:/bin:/root/bin
LOG=/tmp/$(basename ${0})
# chkrootkit実行
chkrootkit > $LOG 2>&1
# ログ出力
cat $LOG | logger -t $(basename ${0})
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $LOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
fi
# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $LOG)" ] && \
[ -z "$(rpm -V `rpm -qf /sbin/init`)" ]; then
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $LOG)" ] && \
grep INFECTED $LOG | mail -s "chkrootkit report in `hostname`" root
-------------------------
rootkitがインストールされていた場合はroot宛にメールが届く
chkrootkitの実行結果は/var/log/messagesに保存
*************************************************************: