[[Rootkit Hunter]] #contents ---- * Rootkit Hunter FAQ 日本語版について [#ledc5cfe] ** この FAQ について [#wef2ed64] この FAQ はオリジナル英語版 FAQ http://www.rootkit.nl/articles/rootkit_hunter_faq.html を日本語化したものです。 日本語版の配布条件については開発者に問い合わせています。ソフトウェアのライセンスは GPL なのでソフトウェアに基づくサイト内容についても翻訳は問題ないと考えていますが、先方の判断によっては公開を見合わせる場合もあります。 FAQ の内容は出来るだけオリジナル英語に忠実に翻訳するように努めますが、日本語として不適切な部分は日本語として読みやすいように置き換えている場合もあります。なお、免責事項として、日本語版を利用者が利用するにあたり、いかなる場合も訳者はその責をを追いません(、と書くのが一般的ですので、私も書かせてください。。)。 ** オリジナル FAQ の URL [#f9b03545] - Rootkit Hunter FAQ : http://www.rootkit.nl/articles/rootkit_hunter_faq.html * Rootkit Hunter FAQ (よくある Q&A 集) [#tae7e447] ** (B)基本的な質問 [#o1dd628e] *** B1 - Rootkit Hunter(ルートキット・ハンター) とは何ですか? [#o1e043ef] Rootkit Hunter は UNIX 互換マシン上(Linux, FreeBSD などを含みます)で迷惑なツールが動作していないか簡単に調査するためのツールです。 *** B2 - rootkit(ルートキット)とは何ですか? [#ub3534f9] 一般的にシステム管理者の目を避けるためのツール群で、ブラックハット(blackhat)((悪意を持ってシステムへの侵入を試みるハッカー達のことを指すようです。クラッカーとは別定義のようです))、クラッカー((悪意を持ってシステムへの侵入・破壊・不正利用を目的とする人たち、一般的にハッカーと呼ばれる人たち))、スクリプト・キディ((ある種のクラッカーを指しますが既存のツールを使ってのみ攻撃を行うため、クラッカーとしては初心者の部類、あるいは蔑称))によって用いられ、そのようなツール群をシステムから見えなくしている場合もあります。 *** B3 - Rootkit Hunter のインストール方法は? [#udb2fa14] まずはじめに gzip 形式で圧縮されたファイル(tarballです)をダウンロードして、ファイルを展開し、インストール用スクリプトを実行します。 ダウンロード方法:&br; # wget http://downloads.rootkit.nl/rkhunter-<バージョン>.tar.gz &br; ''メモ'': tar 形式の圧縮ファイルはサーバ内のどこに置いても構いません&br; &br; 展開方法:&br; # tar zxf rkhunter-<バージョン>.tar.gz&br; インストール方法:&br; # cd rkhunter&br; # ./install.sh 他の方法として rkhunter.spec ファイルを用いて自分自身で RPM パッケージを作ることも出来ます。&br; rpmbuild -ta rkhunter-<バージョン>.tar.gz ''メモ'':私たちは第三者が作成する PRM ファイルについて何ら関知しませんが、RPM 構築に必要となる spec ファイルのメンテナンスは行います。spec ファイルについて不明な点や提案があればお問い合わせ下さい。 *** B4 - Rootkit Hunter を実行したらシステム上に問題があると表示されました。どうしたらいいですか? [#k90c58b0] (1) もしもシステムに rootkit に汚染されているなら、除去することは殆ど不可能です(無理だと保証します)。rootkit の主な目的はシステムから隠れる事です。マシンが表示する情報を信用してはいけません。 システムの全バックアップ作業を行った後、システムのクリーンインストールをする事を推奨します。以下の手順で進めてください: + ホストをオフラインにします(ネットワークから切り離します) + データのバックアップを取ります(出来るなら実行プログラムとログファイルも) + データの整合性を確認してください(抜けているファイルが無いかなど) + ホストに OS を新規インストールします + 不正アクセス時のログファイルや、使える可能性のある実行ファイルを調査します。あわせて、不正アクセスの攻撃に晒される原因となったサービス(各種デーモン、スクリプトなど)を調査してください。 (2) チェックで検出されるのが1箇所であれば、語検出された可能性もあります。原因となるのはシステムのカスタマイズ設定やプログラム(バイナリ)の変更に伴うものです。以下の点を確認してください: ファイルに対する警告:&br; - ファイル名の中に含まれる不適切な文字列やパス(/dev/.hiddendir の様な場所)がないか確認します。 - 最近オリジナルのソースからプログラム(バイナリ)を更新した場合にも語検出されます。ファイルの更新情報をお持ちでしたら、変更を行ったファイル(RPM など)の URI 情報を送ってください。情報をお送り頂ければ適切なファイル情報としてデータベースに登録します。 - ファイルを信頼できるファイル(オリジナルのバイナリ群)と比較してください。もしバイナリがシンボリック・リンクや全て書き換えられている場合は、既にシステムがトロイの木馬((システムから隠れてデータを吸い出したり破壊活動を行ったり、バックドアを持つようなクラック用ツール全般のこと))によって汚染されています。 その他の警告について:&br; システムに対して何らかの警告が出ている場合は[[問い合わせフォーム:http://www.rootkit.nl/contact/]]からシステム状況について報告をお願いします。 *** B5 - "Determining OS... Warning: this operating system is not fully supported!"と警告が出ます。どのような意味ですか? [#w5fa0ed5] 「警告:OS の自動検知が出来ないため完全な動作ができません」と表示されるのは単純な理由によるものです。この Rootkit Hunter が対応している OS の情報(md5 が使える場合は md5 チェックサム((ファイルの整合性を調べるために用いるのが一般的))の情報も含めて)を持っていないと調べようが無いからです。新しいディストリビューションへの対応を希望される場合は[[問い合わせフォーム:http://www.rootkit.nl/contact/]]から使用中のディストリビューション情報をお送り下さい。 *** B6 - Rootkit Hunter が複数のプログラムを検出できないとエラーがでました。どうしたらいいですか? [#g2792933] 時々環境変数 PATH の影響によってプログラム(バイナリ)を検出できない場合もあります。Rootkit Hunter はシステムで設定されているパスに対してのみ実行可能なプログラムがあるかどうか検査するためです。パスの中にプログラムが見つからなければエラーとなります。 エラーとなる例: >Checking loaded kernel modules... /usr/local/bin/rkhunter: lsmod: command not found >[ Warning! (found difference in output) ] >(lsmod コマンドが見つからないためカーネルモジュールの検査ができません[警告!出力異常を検出しました]) 確認方法としては `echo $PATH` コマンドを実行して、lsmod のようなエラーとなるプログラムへの[[環境変数 PATH が通っているか確認:http://pocketstudio.jp/linux/?%A5%D1%A5%B9%28PATH%29%A4%CE%B3%CE%C7%A7%A4%C8%C0%DF%C4%EA%CA%FD%CB%A1%A4%CF%A1%A9]]してください。 *** B7 - Rootkit Hunter を実行するとインストール済みソフトに対して 'vulnerable' と表示されます。どのような意味ですか? [#w4ea7adf] 'vulnerable'(脆弱性=攻撃を受けやすい)というのはソフトウェアのバグによってシステム内外から攻撃を受ける可能性がある事を示唆します。最悪の場合、悪人によってシステム全体が乗っ取られるでしょう。 *** B8 - Rootkit Hunter が脆弱性を持つアプリケーションがあると指摘しました。ですが、私はサーバにパッチを適用した安全版を使っています。この場合はどのようにしたらいいですか? [#a9e3104c] Red Hat や OpenBSD といった一部のディストリビューションでは古いバージョンのソフトウェアに対してパッチを提供します。そのためパッチが適用されて安全であっても Rootkit Hunter は古いバージョンであるに違いないと''想定''してしまいます。もし検出が邪魔になるようであれば、プログラムのバージョンをチェックしないように(オプションで --skip-application-check をつける)してみてください。 *** B9 - Solaris では Rookit Hunter がインストールできません。どうして? [#hc0cc2c9] Rootkit Hunter を使うためには bash のインストールが必須です。 # (/path/to)bash installer.sh *** B10 - Rootkit Hunter を毎日実行させるには、どうしたら良いですか? [#q99bbd3f] 以下のような cronjob の為のスクリプトを用いては如何でしょう: =========== /etc/cron.daily/rkhunter ==================== #!/bin/sh ( /usr/local/bin/rkhunter --versioncheck /usr/local/bin/rkhunter --update /usr/local/bin/rkhunter --cronjob --report-warnings-only ) | /bin/mail -s 'rkhunter Daily Run' root ========================================================= /etc/cron.daily/rkhunter ファイルを作成するか、同様のコマンドを /etc/crontab ファイルに直接書き加えて下さい。 ** (E)外部ソフトウェアからのエラーについて [#jad9bee0] *** E1 prelink 共有ライブラリを使っていますが、バイナリを更新した後に Rookit Hunter を使うと全てのプログラムが [BAD] と表示されます。どうしたら良いですか?[#uea44def] 殆どの場合、prelink データベースをリビルドする必要があります(prelink によってコマンドやライブラリが最適化されるためです)。バイナリやライブラリの1つでも更新をしたあとは毎回全てのファイルを最適化する必要があるためです。 Red Hat や Fedora Core では次のコマンドを実行してください:&br; # /etc/cron.daily *** E2 - PHP が以下のようなメッセージを表示します: [#w3ed2436] PHP Warning: Function registration failed - duplicate name - pg_update in Unknown on line 0 Apache 向けに PHP プログラムを更新したときに表示される場合がよくあります。多くの場合はコンソールバージョン(CLI)版の PHP をコンパイルし忘れたときです。もう一度コンパイルしなおして Rootkit Hunter を実行してみてください。 ** (U)アップデートの問題・その他の質問 [#je081971] *** U1 - Rootkit Hunter が複数のバージョンのファイルに対して更新するように警告します。どのようにしたら良いでしょうか? [#n41628c7] よくあるのがツールのインストールか交信後です。もし'非公式'なアップデート(外部開発者によって提供される RPM,DEB,TGZ ファイルといったソースやパッケージ)を用いるときに見受けられます。標準でインストールされる場所が違うためです。そのため、システム上に2つのプログラムが存在してしまいます(例えば /usr/bin 配下と /usr/local/bin 配下)。このような場合は古いバージョンがどちらか調べて撤去してください。 *** 8. Rootkit Hunter はハッシュ値が正しい(=OK) と表示されるにかかわらず、ログファイルには正しくないと表示されます。どのような可能性がありますか? [#m908dfc0] Rootkit Hunter のメインプログラムはシェルスクリプトです。その中で小さなユーティリティがデータベース(実のところ CSV 風のファイルです)を読み込む仕組みになっています。ログファイルにはデバッグ情報も含む様々な情報が記録されます。ハッシュ値データベースはデータを読み込んで実際のプログラムと1つ1つ比較をすることによって、正しいか悪いかを判断します(プログラムによっては複数のバージョンを持つある場合もあるからです)。そのため、ログファイルの中にはファイルが改竄されていると記録が残る場合もありますが、かならずしも汚染されている訳ではありません。全くハッシュ値が一致しない場合に 'BAD' (改竄の可能性がある)と表示する仕組みですので、ログ中の 'failed' 行に対しては心配無用です。 *** 9 - Rootkit Hunter を毎日実行させるには、どうしたら良いでしょうか? [#ua77154a] /etc/crontab に cron の自動実行プログラムとして指定してください。 例: 30 5 * * * root </path>/rkhunter -c --cronjob <その他オプション> 上記の例では Rootkit Hunter が毎朝5時30分に実行されます。 *** 10 - 私の使っているオペレーティング・システムはサポートされていません!サポートして頂けますか? [#r31e77e5] 「はい」とも「いいえ」とも言わせて頂きます。お問い合わせフォーム (http://www.rootkit.nl/contact/) からお使いのオペレーティング・システムに関する情報をお送りください(x86 などのシステムアーキテクチャ情報もお願いします!)。 *** 11 - 新しいバージョンがリリースしたときに通知してもらえますか? [#q85c234d] はい、通知可能です。通知機能を使うには Freshmeat(フレッシュミート((Linux に関するソフトウェアの膨大なデータベース。Vector や窓の杜のようなもの。)))のプロジェクトページにある subscribe 機能をご利用下さい。 *** 12 - crontab を使って Rootkit Hunter を運用する一番良い方法は? [#a17ef95b] cron での動作時には '-c --quiet --cronjob' を指定するのが良いでしょう。Rotkit Hunter は出力に色情報を含まず、文字のレイアウトも調整しません(--cronjob)。Rootkit Hunter は警告やエラーメッセージのみ表示するようになります。多数のマシンを管理している場合や膨大なメールに目を通したくない場合には非常に有効でしょう。 *** 13 - プロジェクトの開発に関わったり手伝いすることができますか? [#be97707e] だれもが手助けに加わっていただけます。手伝う方法は以下の通りです: - 自分自身のサーバ上でアプリケーションのテストを行う事です。 - 私に本を買ってください([[ウィッシュリスト:http://www.amazon.com/gp/registry/registry.html/ref=wlem-si-ht_gotowl/103-7955299-5293453?id=32XNM5AMPYBG8]]を見てください) - 私にシェルアカウントを一時的に(あるいは無償提供)利用させてください。i386 アーキテクチャ以外の未テスト・その他のオペレーティング・システムでテストを行います。 - Rootkit Hunter の便利な使い方やアイディアやオプションに対する助言を送って下さい。 *** 14 - 私はこのソフトウェアが気に入りました!どうやって感謝したらいいですか? [#gdfb3dc5] 答え1:私に感謝の気持ちを伝えるメールを送って下さい([[問い合わせフォーム:http://www.rootkit.nl/contact/]]からお願いします)。 答え2:私に本を買って下さい。[ウィッシュリスト:http://www.amazon.com/gp/registry/registry.html/ref=wlem-si-ht_gotowl/103-7955299-5293453?id=32XNM5AMPYBG8]]を見てください。 答え3:Rootkit Hunter についての記述をして、Rootkit Hunter を広めて下さい