Rootkit Hunter

LinuxSoft

---

Rootkit Hunter で不正侵入検知！ †

Rootkit Hunter （ルートキット・ハンター）って何？ †

　まずはじめに、Rootkit（ルートキット）というのは UNIX システムに不正アクセスを行ったり、特定のプロセスを隠したり、他のホストをスキャンしたり攻撃したりといった、いわゆるクラッキング用のツール全般の事を指します。

　この Rootkit Hunter を使うことで、不正に設置されたツールの検出や、オリジナルのフィル改竄（例えば ps や ls でプロセスやファイルを隠したりすることも）を検出することが出来ます。この種のソフトとしては chkrootkit が非常に有名ですが、Rootkit Hunter は結構細かく調べてくれるので、結構重宝しそうです。

　Rootkit Hunter がもし改竄を検出すると……

   /usr/bin/stat                                              [ OK ]
   /usr/bin/users                                             [ BAD ]
   /usr/bin/w                                                 [ BAD ]
   /usr/bin/watch                                             [ BAD ]
   /usr/bin/who                                               [ BAD ]
   /usr/bin/whoami                                            [ BAD ]
--------------------------------------------------------------------------------
Rootkit Hunter found some bad or unknown hashes. This can be happen due replaced
binaries or updated packages (which give other hashes). Be sure your hashes are
fully updated (rkhunter --update). If you're in doubt about these hashes, contact
the author (fill in the contact form).
--------------------------------------------------------------------------------

　このように改竄されている可能性のあるファイルが [BAD] と表示されます。

　インストールしたあとは定期的に cron を使って管理者宛にメールを送るようにしておけば便利ですね。Tripwire のように細かなログファイルまでの検出は出来ませんが、「既に不正侵入を受けた」という事を確認して適切な処置を行うには十分なツールです。

　公式サイトの説明を翻訳すると、

Rootkit スキャナーを用いて不愉快なツールの 99.9% を検出することを保証します。スキャナーには rootkit*1 やバックドア(backdoor)*2、エクスプロイト(exploit)*3を次の方法によって検出します。

• MD5 ハッシュ値の比較
• rootkit によって用いられるディレクトリの走査
• 実行ファイルの不適切なパーミッション
• LKM*4 や KLD*5 と思われる不正なシステムモジュールの推測
• 隠れているファイルの検索
• テキスト形式とバイナリ形式によるファイル検査

　との事です。

　ラインセンスは GPL なので無料で利用することが出来ます。開発者の皆さんに感謝ですね！

Rootkit Hunter を入手する †

ライセンス †

　GNU General Public License (GPL)

公式サイト †

• http://www.rootkit.nl/projects/rootkit_hunter.html

動作環境 †

　公式サイトの記述を参考にすると、かなりの種類の Linux システムに対応しているようです。Fedora Core4 は書かれていませんが、私が動作確認しました。

ダウンロード †

• http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz

Rootkit Hunter の インストールと設定 †

インストール †

　ダウンロードしたアーカイブにはインストール用のドキュメントはありませんでした。Rootkit Hunter FAQ（英語）を読んでください、との事です。とりあえず、そこを参考にしてセットアップです。日本語の FAQ はこちらです

　まずはファイルの取得から展開までです。

$ cd /usr/local/src
$ wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
$ tar xfz rkhunter-1.2.7.tar.gz
$ cd rkhunter

　このあたりはお約束ですね、サクサクッと逝きましょう。

　次に root になります。環境によっては sudo されても構いません。

$ su
# ./install.sh

　以上でセットアップ終わり！

　セットアップ先のパスは

/usr/local/bin/rkhunter

　です。

　ちなみに ./install.sh を実行すると、こんな感じでメッセージが出てきますが、問題はありません。

# ./installer.sh

Rootkit Hunter installer 1.2.4 (Copyright 2003-2005, Michael Boelen)
---------------
Starting installation/update

Checking  /usr/local... OK
Checking file retrieval tools... /usr/bin/wget
Checking installation directories...
- Checking /usr/local/rkhunter...Created
- Checking /usr/local/rkhunter/etc...Created
- Checking /usr/local/rkhunter/bin...Created
- Checking /usr/local/rkhunter/lib/rkhunter/db...Created
- Checking /usr/local/rkhunter/lib/rkhunter/docs...Created
- Checking /usr/local/rkhunter/lib/rkhunter/scripts...Created
- Checking /usr/local/rkhunter/lib/rkhunter/tmp...Created
- Checking /usr/local/etc...Exists
- Checking /usr/local/bin...Exists
Checking system settings...
    - Perl... OK
Installing files...
Installing Perl module checker... OK
Installing Database updater... OK
Installing Portscanner... OK
Installing MD5 Digest generator... OK
Installing SHA1 Digest generator... OK
Installing Directory viewer... OK
Installing Database Backdoor ports... OK
Installing Database Update mirrors... OK
Installing Database Operating Systems... OK
Installing Database Program versions... OK
Installing Database Program versions... OK
Installing Database Default file hashes... OK
Installing Database MD5 blacklisted files... OK
Installing Changelog... OK
Installing Readme and FAQ... OK
Installing Wishlist and TODO... OK
Installing RK Hunter configuration file... OK
Installing RK Hunter binary... OK
Configuration updated with installation path (/usr/local/rkhunter) 

Installation ready.
See /usr/local/rkhunter/lib/rkhunter/docs for more information. Run 'rkhunter' (/usr/local/bin/rkhunter)

初回インストール後の設定 †

　初回インストール後には念のため Rootkit データベース情報を更新しておきます。もしかしたら新しい rootkit が発見されて、それに対応できるかもしれません。

# /usr/local/bin/rkhunter --update

とりあえず実行してみよう †

　-c オプションをつけると、とにかくスキャンが始まります。--skip-keypress つけなくても良いのですが、何かと面倒なので、とりあえずつけておきましょう。

# /usr/local/bin/rkhunter -c --skip-keypress

　ずらずらっと出てきますが、詳しい解説は以下のページで結果とあわせて説明します。

• Fedora Core 4 で Rootkit Hunter を試してみた結果

rkhunter コマンドのオプション †

　オプションはいくつかありますが、その中で実際に使えるのは

• -c ＝ スキャン実行（システムのチェック）
• --cronjob ＝ cron 用の出力。カラー情報が無いのと一部メール用に整形
• --nocolors ＝ カラー表示しない
• --createlogfile ＝ スキャン時のログを /var/log/rkhunter.log に日時付きで保存します
• --update ＝ rootkit データベースの更新 　こんな感じです。

定期的にシステムの情報をメールで送るようにする †

　せっかく便利なツールなので、cron で定期的に自動実行させるようにしてみましょう。毎日スキャン結果が送られてくるので、一応安心です。root ユーザ権限で実行できるスクリプトをまず作ります（自動メールに日付を入れたいので）、

# vi /usr/local/bin/rkhunter-mail.sh

　ファイルの中身は以下のようにします。

#!/bin/sh
/usr/local/bin/rkhunter -c --skip-keypress --cronjob | \
        mail -s "[Rootkit Hunter] HOSTNAME `date +%Y-%m-%d`" admin@example.jp

　このように記述してください。HOSTNAME は自分のホスト名を、末尾の admin@example.jp は自分（あるいはサーバ管理者）のメールアドレスを記述します。

　次に実行権限を与えます。

# chmod +x /usr/local/bin/rkhunter-mail.sh

　次は cron への登録です。

# crontab -e

　と実行します。vi の cron 編集画面になりますので、

00 01 * * *     /usr/local/bin/rkhunter-mail.sh  > /dev/null 2>&1
00 01 * * sun   /usr/local/bin/rkhunter --update > /dev/null 2>&1

　この記述例では、毎日午前１時に rkhunter (Rootkit Hunter 実行プログラム) を実行して、メールを admin@example.jp 宛に題名『[Rootkit Hunter] HOSTNAME 2005-07-18』（最期は年月日）として送信させるものです。題名の部分は必要に応じて適当に書き換えて使ってみてください。

　下の行では毎週日曜日の午前１時に Rootkit Hunter のデータベースを自動更新します。

Rootkit Hunter FAQ †

　Rootkit Hunter の FAQ はこちらです。 　http://www.rootkit.nl/articles/rootkit_hunter_faq.html

Rootkit Hunter FAQ 日本語版 †

　Rootkit Hunter FAQ を日本語化してみました