>> HOME >> CentOS 4 MENU >> rootkit検知ツール (chkrootkit)
chkrootkit とは PC が不正利用される原因であるバックドア (rootkit) が仕掛けられていないかを検出するツールです。
chkrootkit は、以下のコマンドを使用してチェックします。それらコマンド自体が rootkit を検知できないように改竄されてからでは意味がないので、OS インストール後の初期段階での導入をお勧めします。

[chkrootkitが使用するコマンド]
awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed, uname

1. chkrootkit インストール
2. chkrootkit の確認
3. chkrootkit の定期実行の設定
1 ) 定期実行用シェルスクリプト作成
2 ) スケジューラ(cron)への登録
1. chkrootkit インストール
[root@linux ~]# yum -y install chkrootkit 
Setting up Install Process
Setting up repositories
dries                     100% |=========================|  951 B    00:00
dag                       100% |=========================| 1.1 kB    00:00
update                    100% |=========================|  951 B    00:00
base                      100% |=========================| 1.1 kB    00:00
addons                    100% |=========================|  951 B    00:00
extras                    100% |=========================| 1.1 kB    00:00
Reading repository metadata in from local files
Parsing package install arguments
Resolving Dependencies
--> Populating transaction set with selected packages. Please wait.
---> Downloading header for chkrootkit to pack into transaction set.
chkrootkit-0.46a-2.2.el4. 100% |=========================| 5.7 kB    00:00
---> Package chkrootkit.i386 0:0.46a-2.2.el4.rf set to be updated
--> Running transaction check
Dependencies Resolved

=============================================================================
 Package                 Arch       Version          Repository        Size
=============================================================================
Installing:
 chkrootkit              i386       0.46a-2.2.el4.rf  dries             246 k

Transaction Summary
=============================================================================
Install      1 Package(s)
Update       0 Package(s)
Remove       0 Package(s)
Total download size: 246 k
Downloading Packages:
(1/1): chkrootkit-0.46a-2 100% |=========================| 246 kB    00:01
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing: chkrootkit                   ######################### [1/1]

Installed: chkrootkit.i386 0:0.46a-2.2.el4.rf
Complete!
2. chkrootkit の確認
[root@linux ~]# chkrootkit | grep INFECTED 
Checking `bindshell'... INFECTED (PORTS:  465)
この時、INFECTED の行が出力されなければ問題ありません。
※「postfix」で TLS の設定を行い ポートの465番を開けた場合、誤検知され出力されますが問題ありません。
3. chkrootkit の定期実行の設定
1 ) 定期実行用シェルスクリプト作成
[root@linux ~]# vi chkrootkit.sh 

#!/bin/sh

PATH=/usr/bin:/bin

LOGFILE=`mktemp`

# chkrootkit実行
chkrootkit > $LOGFILE

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $LOGFILE)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $LOGFILE
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $LOGFILE)" ] && \
grep INFECTED $LOGFILE | mail -s "chkrootkit report in `hostname`" root

rm -f $LOGFILE
[root@linux ~]# chmod 700 chkrootkit.sh 
2 ) スケジューラ(cron)への登録
[root@linux ~]# crontab -e 

# 毎日 00:00 に自動実行します。
00 00 * * * /root/chkrootkit.sh > /dev/null 2>&1