ドキュメント和訳について †オリジナルのドキュメントは http://www.chkrootkit.org/faq/ です。 日本語版のドキュメント公開については念のため作者さんに問い合わせ中です。先方の回答やライセンスによってはドキュメントは非公開になる場合もあります。 ドキュメントの内容は出来るだけオリジナル英語に忠実に翻訳するように努めますが、日本語として不適切な部分は日本語として読みやすいように置き換えている場合もあります。なお、免責事項として、日本語版を利用者が利用するにあたり、いかなる場合も訳者はその責をを追いません(、と書くのが一般的ですので、私も書かせてください。。)。 chkrootkit FAQ †chkrootkit はどのように改竄されたコマンドを検出しますか? †chkrootkit は改竄されたシステムコマンド中に見受けられる"痕跡"を探します。たと えば、ある改竄プログラムには "/dev/ptyp" という文字列が含まれています。 攻撃者が特定の rootkit*1 を用いるのであれば、rootkit のソースコードの情報を元に chkrootkit が痕跡を検出することが可能なのは明らかです。引き続き次の質問をご覧ください。 chkrootkit は rootkit の新バージョンや改良版を検出できますか? †未知の改竄方法があったとしても rootkit 自身は自分で自動的に痕跡を検出することはできません。chkrootkit がどのように動作しているかはエキスパート・モード(-x オプション)を試してみてください。そうすると、どのような文字列がファイルに含まれているかによって、痕跡を見つける事が出来ると分かるでしょう。 たとえば、多くの文字列が表示されるので次のようにしてみてください: # ./chkrootkit -x | more システムコマンド中に含まれるパス名のみ見たい場合: # ./chkrootkit -x | egrep '^/' どうして chkrootkit は Perl で記述されてないのですか? †すべてのシステムで Perl 言語が動作するとは限りません。最小限のシステム構成で動作できるプログラムを作成することが目的でした。 chkrootkit の使うコマンドはどれですか? †以下のコマンドを使います。 awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed, uname 改竄されたシステム上で chkrootkit を使った場合、結果は信頼できますか? †おそらく信頼できないものでしょう。以下の方法のいずれかの方法を試すことをお勧めします、 1. 信頼できるコマンドがおかれているパスを '-p パス' オプションで指定することが出来ます。 # ./chkrootkit -p /media/cdrom/bin 2. 信頼できるマシンに改竄されたシステムのハードディスクを取り付けて、 '-r ルートディレクトリ' オプションを使って実行してみてください。 # ./chkrootkit -r /mnt chkproc の正確さは? †chkproc (chkrootkit がプロセスの状態を確認する為の外部コマンド)は短期間でたくさんのプロセスを動作させているシステム上で実行すると、若干の誤判断があり得ます。chkproc は /proc に含まれるシステム情報を元に検査するからです。chkproc が特定のプロセスを検査中、短時間の間にプロセスが作成・終了されると PID の違いを指摘する場合もあります。 システム上で PortSentry/Klaxon*2を稼働させています。bindshell のチェックで警告がでてしまいましたが、これは何か悪いのですか? †PortSentry/klaxon といった種類のプログラムを動作させていると、chkrootkit はいくつかのポートが bindshell による影響を受けていると指摘する場合があります(対象となるポート番号 114/tcp, 465/tcp, 511/tcp, 1008/tcp, 1524/tcp, 1999/tcp,3879/tcp, 4369/tcp, 5665/tcp, 10008/tcp, 12321/tcp, 23132/tcp, 27374/tcp, 29364/tcp, 31336/tcp, 31337/tcp, 45454/tcp, 47017/tcp, 47889/tcp, 60001/tcp)。 chkrootkit は ".packlist" や ".csvignore" といった明らかに問題ないファイルやディレクトリに対して警告を出します。このような警告を出さなくできませんか? †特定のファイルを除外するようなことは chkrootkit の正確さに影響を与える恐れがあります。侵入者によっては特定のファイルが chkrootit が検査しない事を良いことに、特定のファイルやディレクトリが用いられる危険性があります。 cron で chkrootkit を実行できますか? †はい、たとえば、毎日午前3時に chkrootkit を実行して、root にメールを送るようには次のようにして下さい: 0 3 * * * (cd /path/to/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root) |