chkrootkit(チェック・ルートキット)はローカル環境上でルートキット(rootkit) を検出するためのツール群です。ツール群の中には次のようなツールやソースが入っています。
- chkrootkit: ルートキット(rootkit)によってシステム上のバイナリ(/bin や /sbin 配下のコマンド群)が改竄されていないかどうか調べるためのシェル・スクリプトです。
- ifpromisc.c: ネットワーク・インターフェースが promiscous mode(プロミスキャス・モード=ネットーワーク上のパケットを盗聴可能な状態)かどうかを調べます。
- chklastlog.c: lastlog ファイル(lastlog コマンド:ユーザ毎に何時・何処からログインしたか・最終ログイン日時の確認可能なデータが入っている /var/log/lastlog ログファイルを整形して表示)に削除された痕跡が無いか調べます。
- chkwtmp.c: wtmp ファイル(last コマンドで誰がいつ何処からログインしたか確認可能なデータが入っているファイル)に削除された痕跡が無いか調べます。
- check_wtmpx.c: wtmpx ファイルに削除された痕跡が無いか調べます。
(Solaris 環境のみ対象)
- chkproc.c: カーネル組み込み型モジュール(LKM trojan)に分類されるトロイの木馬型侵入ツールの影響を受けていないか調べます(プロセスが監査対象です)。
- chkdirs.c: カーネル組み込み型モジュール(LKM trojan)に分類されるトロイの木馬型侵入ツールの影響を受けていないか調べます(ディレクトリが監査対象です)。
- strings.c: 悪意のある悪戯や酷い表現を含む文字列がないか、改竄状態を調べます。
- chkutmp.c: utmp ファイル(現在ログインしているユーザの情報が確認可能なデータの記録されているファイル)に削除された痕跡が無いか調べます。
Chkrootkit は 2006 年版の
Insecure.Org による
"Top 100 Network SecurityTools"(ネットワーク・セキュリティ対策ツールのトップ 100 ) に掲載されました。私たちは chkrootkit を便利なツールとして投票して下さった全ての皆さんに感謝します!
新着情報
chkrootkit 0.47 が公開されました!
(公開日:2006 年 10 月 10 日)。特徴は次の通りです。
- chkproc.c
- 複数のバグを修正しました。Lantz Moore 氏に感謝します。
- カーネル組み込み型モジュール(LKM)の判別用の関数 getpriority() を追加しました。 Yjesus(unhide) 氏、Slider/Flimbo (skdet) 氏に感謝します
- 新ルートキット(rootkit) Enye LKM の検出に対応しました。
- chkrootkit
- 追加テスト対象: crontab
- 新ルートキット(rootkit) Enye LKM、Lupper.Worm、 shv5 の検出に対応しました。
- bindshell 検査用ポートを追加しました。
- 複数の細かなバグを修正しました。
ルートキット(rootkit)の検出と検証について
次のコマンド用ファイル群が検査対象となります:
-
aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper
z2 chkutmp amd basename biff chfn chsh cron crontab date du dirname
echo egrep env find fingerd gpm grep hdparm su ifconfig inetd
inetdconf identd init killall ldsopreload login ls lsof mail mingetty
netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd
slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed
traceroute vdir w write
現時点では以下の ルートキット(rootkit)、ワーム(worm)、カーネル組み込み型(LKM)ツール群の検出に対応しています:
01. lrk3, lrk4, lrk5, lrk6 (and variants); |
02. Solaris rootkit; |
03. FreeBSD rootkit; |
04. t0rn (and variants); |
05. Ambient's Rootkit (ARK); |
06. Ramen Worm; |
07. rh[67]-shaper; |
08. RSHA; |
09. Romanian rootkit; |
10. RK17; |
11. Lion Worm; |
12. Adore Worm; |
13. LPD Worm; |
14. kenny-rk; |
15. Adore LKM; |
16. ShitC Worm; |
17. Omega Worm; |
18. Wormkit Worm; |
19. Maniac-RK; |
20. dsc-rootkit; |
21. Ducoci rootkit; |
22. x.c Worm; |
23. RST.b trojan; |
24. duarawkz; |
25. knark LKM; |
26. Monkit; |
27. Hidrootkit; |
28. Bobkit; |
29. Pizdakit; |
30. t0rn v8.0; |
31. Showtee; |
32. Optickit; |
33. T.R.K; |
34. MithRa's Rootkit; |
35. George; |
36. SucKIT; |
37. Scalper; |
38. Slapper A, B, C and D; |
39. OpenBSD rk v1; |
40. Illogic rootkit; |
41. SK rootkit. |
42. sebek LKM; |
43. Romanian rootkit; |
44. LOC rootkit; |
45. shv4 rootkit; |
46. Aquatica rootkit; |
47. ZK rootkit; |
48. 55808.A Worm; |
49. TC2 Worm; |
50. Volc rootkit; |
51. Gold2 rootkit; |
52. Anonoying rootkit; |
53. Shkit rootkit; |
54. AjaKit rootkit; |
55. zaRwT rootkit; |
56. Madalin rootkit; |
57. Fu rootkit; |
58. Kenga3 rootkit; |
59. ESRK rootkit; |
60. rootedoor rootkit; |
61. Enye LKM; |
62. Lupper.Worm; |
63. shv5; |
chkrootkit のテスト済み環境: Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x,
FreeBSD 2.2.x, 3.x, 4.x, 5.x, OpenBSD 2.x, 3.x., NetBSD 1.6.x,
Solaris 2.5.1, 2.6, 8.0, 9.0, HP-UX 11, Tru64, BSDI, Mac OS X です。
chkrootkit に関する詳細な動作については README をご覧下さい。
メーリングリスト
メーリングリスト(英語)に登録するには、コンソール(CUI)上で次のコマンドを実行してください。
echo "subscribe 登録メールアドレス" | mail majordomo@chkrootkit.org
あるいは、majordomo@chkrootkit.org 宛に、題名は空白のままで、"subscribe 登録メールアドレス"を送信してください。
メーリングリストの過去ログは
(MARC = Mailing list ARChives アーカイブ)より、オンラインで参照可能です。
著者・訳者と連絡をとるには
ご意見や新しい rootkit の情報、質問、バグリポートなど Nelson Murilo
<nelson@pangeia.com.br> (主開発者) か Klaus Steding-Jessen
<jessen@cert.br> (副開発者) へお送り下さい。お待ちしています。
日本語訳ミラーサイトに関して
当サイト http://jp1.chkrootkit.org/ は公式サイト(http://www.chkrootkit.org/)の忠実な日本語訳および更新情報の提供を目的としたものです。正式に公式サイトよりミラーサイトとして登録していただく事になりました。
日本語訳に関しての誤字のご指摘や、よりよい訳案がございましたら 前佛 雅人 <zem@pocketstudio.jp> までお知らせ下さい。私は翻訳および日本語訳サイト(http://jp1.chkrootkit.org/)管理も兼ねています。
About Japanese reason mirror site
This site "http://jp1.chkrootkit.org/" aimed at the offer of faithful Japanese translation of the official site (http://www.chkrootkit.org/) and the renewal information. I appreciate Mr. Nelson Murilo, the developer, whom it had agree to the translation readily.
This server is installed in the Japanese country. Other languages and the server of the area are to see mirror sites.
|