rootkit検知ツール chkrootkit
[root@falcon21 ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
[root@falcon21 ~]# tar zxvf chkrootkit.tar.gz
chkrootkit-0.53/
chkrootkit-0.53/chkrootkit
chkrootkit-0.53/ifpromisc.c
chkrootkit-0.53/check_wtmpx.c
chkrootkit-0.53/Makefile
chkrootkit-0.53/README.chkwtmp
chkrootkit-0.53/strings.c
chkrootkit-0.53/README.chklastlog
chkrootkit-0.53/chkwtmp.c
chkrootkit-0.53/chkutmp.c
chkrootkit-0.53/chkdirs.c
chkrootkit-0.53/ACKNOWLEDGMENTS
chkrootkit-0.53/README
chkrootkit-0.53/COPYRIGHT
chkrootkit-0.53/chkproc.c
chkrootkit-0.53/chkrootkit.lsm
chkrootkit-0.53/chklastlog.c
[root@falcon21 ~]# mkdir -p ~/bin && mv chkrootkit-0.53/chkrootkit ~/bin
[root@falcon21 ~]# rm -rf chkrootkit-0.53/
[root@falcon21 ~]# rm -f chkrootkit.tar.gz
chkrootkit実行
[root@falcon21 ~]# chkrootkit | grep INFECTED
-----------------------
chkrootkit定期自動実行設定
[root@falcon21 ~]# vi /etc/cron.daily/chkrootkit
#!/bin/sh
PATH=/usr/bin:/bin:/root/bin
LOG=/tmp/$(basename ${0})
# chkrootkit実行
chkrootkit > $LOG 2>&1
# ログ出力
cat $LOG | logger -t $(basename ${0})
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $LOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $LOG
fi
# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $LOG)" ] && \
[ -z "$(rpm -V `rpm -qf /sbin/init`)" ]; then
sed -i '/Suckit/d' $LOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $LOG)" ] && \
grep INFECTED $LOG | mail -s "chkrootkit report in `hostname`" root
-------------------------
rootkitがインストールされていた場合はroot宛にメールが届く
chkrootkitの実行結果は/var/log/messagesに保存
*************************************************************: