[[Rootkit Hunter]] #contents ---- ** Fedora Core 4 で Rootkit Hunter を試してみました [#sadaabe1] *** とにかく実行 [#rd8cbbe3] 以下、実行結果とその解説です。 Rootkit Hunter 1.2.7 is running Determining OS... Unknown Warning: This operating system is not fully supported! Warning: Cannot find md5_not_known All MD5 checks will be skipped! OS が Unknown と出ましたが・・・なので MD5 に関するチェックは行えないとのことです。別のシステムで試したら問題ないという結果が表示されました。 Determining OS... Ready MD5 チェックを行えないので、スキップされてしまう。。うーむ。 * System tools Skipped! 本当はここで /bin 以下のファイルの整合性をチェックしてくれます。改竄されたシステムのファイルをスキャンすると、、 * System tools Performing 'known good' check... /bin/cat [ BAD ] /bin/chmod [ BAD ] /bin/chown [ BAD ] /bin/dmesg [ OK ] /bin/egrep [ BAD ] こんな感じで [ BAD ]と出てきます。。。 うーん、MD5 チェックもさせたい!ということで次のコーナー ** Fedora Core 4 を MD5 に対応させる。 [#o0adbda7] 対応させるには、一部のファイルを書き換える必要があります。アーカイブを展開したディレクトリに files というディレクトリがあり、その中に os.dat があります。 rkhunter/files/os.dat です。 vi エディタなどでファイルを開いたら 97 行目に次の行を入れます。 178:Fedora Core release 4 (Stentz) (i386):/usr/bin/md5sum:/bin: ファイルを保存したら、rkhunter ディレクトリに戻り、もう一度インストールを行います。 # cd .. # ./installer.sh あとは、もう一度 Rookit Hunter を実行すると Fedora Core 4 が認識されます。 ** もう一度実行結果を読んでみる [#z5b12fc4] 次のコマンドを実行して、一気にチェックをかけます。 # /usr/local/bin/rkhunter -c --skip-keypress Rootkit Hunter 1.2.7 is running Determining OS... Ready 今度は正しく OS が認識されました。 *** Checking binaries - コマンド群の確認 [#ldad4fb7] コマンドの md5sum 値をチェックして改竄されていないかの確認です。問題ないようです(というより、このマシンはローカルでテストしてるので不正侵入うけてたらマズイんですが……)。 Checking binaries * Selftests Strings (command) [ OK ] * System tools Info: prelinked files found Performing 'known bad' check... /bin/cat [ OK ] /bin/chmod [ OK ] /bin/chown [ OK ] /bin/csh [ OK ] /bin/date [ OK ] /bin/df [ OK ] /bin/dmesg [ OK ] /bin/echo [ OK ] /bin/ed [ OK ] /bin/egrep [ OK ] /bin/env [ OK ] /bin/fgrep [ OK ] /bin/grep [ OK ] /bin/kill [ OK ] /bin/login [ OK ] /bin/ls [ OK ] /bin/more [ OK ] /bin/mount [ OK ] /bin/netstat [ OK ] /bin/ps [ OK ] /bin/sh [ OK ] /bin/sort [ OK ] /bin/su [ OK ] /sbin/chkconfig [ OK ] /sbin/depmod [ OK ] /sbin/ifconfig [ OK ] /sbin/ifdown [ OK ] /sbin/ifup [ OK ] /sbin/init [ OK ] /sbin/insmod [ OK ] /sbin/ip [ OK ] /sbin/lsmod [ OK ] /sbin/modinfo [ OK ] /sbin/modprobe [ OK ] /sbin/nologin [ OK ] /sbin/rmmod [ OK ] /sbin/runlevel [ OK ] /sbin/sulogin [ OK ] /sbin/sysctl [ OK ] /sbin/syslogd [ OK ] /usr/bin/chattr [ OK ] /usr/bin/du [ OK ] /usr/bin/file [ OK ] /usr/bin/find [ OK ] /usr/bin/groups [ OK ] /usr/bin/head [ OK ] /usr/bin/kill [ OK ] /usr/bin/killall [ OK ] /usr/bin/last [ OK ] /usr/bin/lastlog [ OK ] /usr/bin/less [ OK ] /usr/bin/locate [ OK ] /usr/bin/logger [ OK ] /usr/bin/lsattr [ OK ] /usr/bin/md5sum [ OK ] /usr/bin/passwd [ OK ] /usr/bin/pstree [ OK ] /usr/bin/sha1sum [ OK ] /usr/bin/size [ OK ] /usr/bin/slocate [ OK ] /usr/bin/stat [ OK ] /usr/bin/strace [ OK ] /usr/bin/strings [ OK ] /usr/bin/test [ OK ] /usr/bin/top [ OK ] /usr/bin/users [ OK ] /usr/bin/vmstat [ OK ] /usr/bin/w [ OK ] /usr/bin/watch [ OK ] /usr/bin/wc [ OK ] /usr/bin/wget [ OK ] /usr/bin/whatis [ OK ] /usr/bin/whereis [ OK ] /usr/bin/which [ OK ] /usr/bin/who [ OK ] /usr/bin/whoami [ OK ] /usr/sbin/adduser [ OK ] /usr/sbin/chroot [ OK ] /usr/sbin/kudzu [ OK ] /usr/sbin/tcpd [ OK ] /usr/sbin/useradd [ OK ] /usr/sbin/usermod [ OK ] /usr/sbin/vipw [ OK ] /usr/sbin/xinetd [ OK ] Performing 'known good' check... *** Check rootkits - ルートキットの確認 [#q31f0fd7] 次は何かシステムにルートキットが仕組まれていないかの確認です。 ずらずらと並んでいるのは有名なルートキットですね。。 Check rootkits * Default files and directories Rootkit '55808 Trojan - Variant A'... [ OK ] ADM Worm... [ OK ] Rootkit 'AjaKit'... [ OK ] Rootkit 'aPa Kit'... [ OK ] Rootkit 'Apache Worm'... [ OK ] Rootkit 'Ambient (ark) Rootkit'... [ OK ] Rootkit 'Balaur Rootkit'... [ OK ] Rootkit 'BeastKit'... [ OK ] Rootkit 'beX2'... [ OK ] Rootkit 'BOBKit'... [ OK ] Rootkit 'CiNIK Worm (Slapper.B variant)'... [ OK ] Rootkit 'Danny-Boy's Abuse Kit'... [ OK ] Rootkit 'Devil RootKit'... [ OK ] Rootkit 'Dica'... [ OK ] Rootkit 'Dreams Rootkit'... [ OK ] Rootkit 'Duarawkz'... [ OK ] Rootkit 'Flea Linux Rootkit'... [ OK ] Rootkit 'FreeBSD Rootkit'... [ OK ] Rootkit 'Fuck`it Rootkit'... [ OK ] Rootkit 'GasKit'... [ OK ] Rootkit 'Heroin LKM'... [ OK ] Rootkit 'HjC Kit'... [ OK ] Rootkit 'ignoKit'... [ OK ] Rootkit 'ImperalsS-FBRK'... [ OK ] Rootkit 'Irix Rootkit'... [ OK ] Rootkit 'Kitko'... [ OK ] Rootkit 'Knark'... [ OK ] Rootkit 'Li0n Worm'... [ OK ] Rootkit 'Lockit / LJK2'... [ OK ] Rootkit 'MRK'... [ OK ] Rootkit 'Ni0 Rootkit'... [ OK ] Rootkit 'RootKit for SunOS / NSDAP'... [ OK ] Rootkit 'Optic Kit (Tux)'... [ OK ] Rootkit 'Oz Rootkit'... [ OK ] Rootkit 'Portacelo'... [ OK ] Rootkit 'R3dstorm Toolkit'... [ OK ] Rootkit 'RH-Sharpe's rootkit'... [ OK ] Rootkit 'RSHA's rootkit'... [ OK ] Sebek LKM [ OK ] Rootkit 'Scalper Worm'... [ OK ] Rootkit 'Shutdown'... [ OK ] Rootkit 'SHV4'... [ OK ] Rootkit 'SHV5'... [ OK ] Rootkit 'Sin Rootkit'... [ OK ] Rootkit 'Slapper'... [ OK ] Rootkit 'Sneakin Rootkit'... [ OK ] Rootkit 'Suckit Rootkit'... [ OK ] Rootkit 'SunOS Rootkit'... [ OK ] Rootkit 'Superkit'... [ OK ] Rootkit 'TBD (Telnet BackDoor)'... [ OK ] Rootkit 'TeLeKiT'... [ OK ] Rootkit 'T0rn Rootkit'... [ OK ] Rootkit 'Trojanit Kit'... [ OK ] Rootkit 'Tuxtendo'... [ OK ] Rootkit 'URK'... [ OK ] Rootkit 'VcKit'... [ OK ] Rootkit 'Volc Rootkit'... [ OK ] Rootkit 'X-Org SunOS Rootkit'... [ OK ] Rootkit 'zaRwT.KiT Rootkit'... [ OK ] * Suspicious files and malware Scanning for known rootkit strings [ OK ] Scanning for known rootkit files [ OK ] Testing running processes... [ OK ] Miscellaneous Login backdoors [ OK ] Miscellaneous directories [ OK ] Software related files [ OK ] Sniffer logs [ OK ] * Trojan specific characteristics shv4 Checking /etc/rc.d/rc.sysinit Test 1 [ Clean ] Test 2 [ Clean ] Test 3 [ Clean ] Checking /etc/inetd.conf [ Not found ] Checking /etc/xinetd.conf [ Clean ] * Suspicious file properties chmod properties Checking /bin/ps [ Clean ] Checking /bin/ls [ Clean ] Checking /usr/bin/w [ Clean ] Checking /usr/bin/who [ Clean ] Checking /bin/netstat [ Clean ] Checking /bin/login [ Clean ] Script replacements Checking /bin/ps [ Clean ] Checking /bin/ls [ Clean ] Checking /usr/bin/w [ Clean ] Checking /usr/bin/who [ Clean ] Checking /bin/netstat [ Clean ] Checking /bin/login [ Clean ] * OS dependant tests Linux Checking loaded kernel modules... [ OK ] Checking files attributes [ OK ] Checking LKM module path [ OK ] *** Networking - ネットワークの確認 [#xd02e8db] 特定のルートキットやバックドアが用いるポートをチェックしてます。大丈夫そうです。 Networking * Check: frequently used backdoors Port 2001: Scalper Rootkit [ OK ] Port 2006: CB Rootkit [ OK ] Port 2128: MRK [ OK ] Port 14856: Optic Kit (Tux) [ OK ] Port 47107: T0rn Rootkit [ OK ] Port 60922: zaRwT.KiT [ OK ] * Interfaces Scanning for promiscuous interfaces [ OK ] *** System checks - システムの確認 [#xf96906d] サーバ起動時のスクリプト群に不正なものがないか確認されます。 System checks * Allround tests Checking hostname... Found. Hostname is sion Checking for passwordless user accounts... OK Checking for differences in user accounts... OK. No changes. Checking for differences in user groups... OK. No changes. Checking boot.local/rc.local file... - /etc/rc.local [ OK ] - /etc/rc.d/rc.local [ OK ] - /usr/local/etc/rc.local [ Not found ] - /usr/local/etc/rc.d/rc.local [ Not found ] - /etc/conf.d/local.start [ Not found ] - /etc/init.d/boot.local [ Not found ] Checking rc.d files... Processing........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........................................ ........ Result rc.d files check [ OK ] Checking history files Bourne Shell [ OK ] * Filesystem checks Checking /dev for suspicious files... [ OK ] Scanning for hidden files... [ Warning! ] --------------- /dev/.udevdb /etc/.pwd.lock --------------- Please inspect: /dev/.udevdb (directory) おっと、ここでは隠しファイルとして /dev/.udevdb と /etc/.pwd.lock がひっかかり Warning!(警告)が出てしまいました。 - /dev/.udevdb (ディレクトリ) カーネルが使うデバイスのためのディレクトリなので問題なし。このディレクトリ自身については[[こちらを参照:http://www.kernel.org/pub/linux/utils/kernel/hotplug/]] - /etc/.pwd.lock - /etc/passwd のロック用ファイル。こちらも問題なし。 *** Application advisories - アプリケーションへのアドバイス [#u36fd764] バージョンが古かったら警告が出ます。一部のファイルはうまく認識してくれないようです。 Application advisories * Application scan Checking Apache2 modules ... [ Not found ] Checking Apache configuration ... [ OK ] * Application version scan - GnuPG 1.4.1 [ OK ] - Apache 2.0.54 [ Unknown ] - Bind DNS 9.3.1 [ Unknown ] - OpenSSL 0.9.7f [ Unknown ] - PHP 5.0.4 [ Unknown ] - PHP 4.3.11 [ OK ] - Procmail MTA 3.22 [ OK ] - OpenSSH 4.0p1 [ OK ] Your system contains some unknown version numbers. Please run Rootkit Hunter with the --update parameter or fill in the contact form (www.rootkit.nl) ちなみに Fedora Core 4 ではない某所システムをチェックしたところ、古い!!と指摘されてしまいました……(汗、早急に対策をします。。。 - Bind DNS 8.3.3 [ Old or patched version ] - OpenSSL 0.9.5a [ Unknown ] - PHP 4.3.9 [ Old or patched version ] - Procmail MTA 3.14 [ Old or patched version ] - Procmail MTA 3.14 [ Old or patched version ] - ProFTPd 1.2.6 [ OK ] - OpenSSH t [ Unknown ] *** Security advisories - セキュリティのアドバイス [#v2aabcd5] ここでは root のログイン許可が指摘されてしまいました。 Security advisories * Check: Groups and Accounts Searching for /etc/passwd... [ Found ] Checking users with UID '0' (root)... [ OK ] * Check: SSH Searching for sshd_config... Found /etc/ssh/sshd_config Checking for allowed root login... Watch out Root login possible. Possible risk! info: Hint: See logfile for more information about this issue Checking for allowed protocols... [ Warning (SSH v1 allowed) ] * Check: Events and Logging Search for syslog configuration... [ OK ] Checking for running syslog slave... [ OK ] Checking for logging to remote system... [ OK (no remote logging) ] 指摘されているのは、 Found /etc/ssh/sshd_config Checking for allowed root login... Watch out Root login possible. Possible risk! この部分。 リモートから直接 root でログインすることは無いので、/etc/ssh/sshd_config の設定を変更します。 PermitRootLogin no この行をファイルに追加して sshd の再起動です。 # /etc/init.d/sshd restart sshd を停止中: [ OK ] sshd を起動中: [ OK ] 書き換え後は問題ないという表示に変わります。 Found /etc/ssh/sshd_config Checking for allowed root login... [ OK (Remote root login disabled) ] *** Scan results - スキャン結果 [#x9bf2fe3] 最期に出るのがスキャン結果。 MD5 MD5 compared: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 0 Scanning took 69 seconds どれも問題ないということ、スキャンに 69 秒かかりましたよ、という事が表示されています。Rootkit は検出されませんでした。一安心です。 ちなみに、もし Rootkit があったりシステム改竄の恐れがあると、このような表示になります。。。 MD5 MD5 compared: 49 Incorrect MD5 checksums: 24 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 4 このような状態であれば、速やかにネットワークからマシンを切り離し、OS の再インストール(クリーンインストール)をすることをお奨めします(さらに他のマシンやネットワークに被害が出ないようにするためです)