chkrootkit
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[LinuxSoft]]
#contents
----
* News [#n601e887]
- 2006年10月10日 chkrootkit [[最新版 Version 0.47 がリリ...
- 2006年10月11日 chkrootkit [[公式サイト>http://www.chkro...
* 公式サイト日本語化プロジェクト [#nd428bbb]
[[chkrootkit 公式サイト日本語化]]プロジェクトを開始しま...
- 公式サイト http://www.chkrootkit.org/
詳細な経緯は公式メーリングリスト users@chkrootkit.it.or...
開発者である Nelson 氏より許諾を頂きました。jp1.chkroot...
このプロジェクトの目的は公式サイトの忠実なる日本語化に...
最終的には chkrootkit を日本語(UTF-8)対応させるパッチを...
参加者&協力者&テスター募集中です。
許諾文章以下抜粋(英語です、、ごめんなさい)。
> My proposal is simple. That is in editing of pure
> www.chkrootkit.org. In other words, I translate Englis...
> of the site into Japanese. A display style there doesn...
> its place.
>
> It is inferior to ability in reading and writing becau...
> Japanese most part doesn't make English a main languag...
> disappointing. Even if you think "Is though it such ea...
>
> It is rather another problem that I am anxious. The pe...
> can't discuss English in the Japanese technician of li...
> fact to exist in many, too. (This comes off the main s...
> think that it can have it know as your reference.)
>
> In addition, I will sometimes appear at the site if th...
> the Japanese has renewal information. I want to provid...
> localization patch if it is possible, too.
Don't you care though you think that I will proceed with...
work with the above contents?
開発者の Nelson 氏からは "No problem. You're welcome. P...
* chkrootkit を使った不正侵入検知 [#q2f0d073]
** chkrootkit って何? [#v4ca30f1]
不正侵入検知、というところの chkrootkit (チェック・ルー...
chkrootkit は、これら rootkit を迅速に検査して、システ...
不正アクセスなんて関係ないよ?とは思っていませんか。た...
詳しい経緯をまとめますと、BIND は DNS サービスとして一...
OpenSSL の脆弱性では OpenSSL のライブラリを用いた mod_s...
このように、たとえ iptables で固めていようが専用ファイ...
急にネットワークがダウンしたり、急にコマンドが使えなく...
ですから、保険という意味でも、普段から不正侵入ツール群...
chkrootkit は判明している((存在が知られている有名なもの...
(同様な rootkit 検出ツールとして [[Rootkit Hunter:http:/...
** で、chkrootkit の情報はどこから? [#u47b1e2d]
chkrootkit の公式ページはこちらです
http://www.chkrootkit.org/
- 著作権
COPYRIGHT 1.2 (Pangeia Informatica) 2/21/97
Copyright 1996-2003 - Pangeia Informatica, All rights r...
** 対応 OS [#f08791bf]
>Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x,
>FreeBSD 2.2.x, 3.x, 4.x and 5.x, OpenBSD 2.x and 3.x., N...
>Solaris 2.5.1, 2.6, 8.0 and 9.0, HP-UX 11, Tru64 and BSDI.
>(README より)
** chkrootkit のインストール [#te964bd5]
インストール方法は至って簡単です。
$ wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.t...
公開されている [[MD5 チェックサム:ftp://ftp.pangeia.com...
$ md5sum chkrootkit.tar.gz
4c6455d202cef35395a673386e4bf01a8 chkrootkit.tar.gz
次にファイルを展開してディレクトリを移動します。
$ tar xfz chkrootkit.tar.gz
$ cd chkrootkit-0.47
次に make します。
$ make sense
これでバイナリの作成は終わりました。実行はそのディレク...
** chkrootkit の実行 [#l93b6bdd]
ソースを make したディレクトリで chkrootkit を実行しま...
注意点としては実行時には root ユーザ権限が必要となりま...
# ./chkrootkit
ちなみに以下が Fedora Core 4 で実行してみた結果です。
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... not...
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing f...
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothin...
Searching for RSHA's default files and dir... nothing fo...
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and ...
Searching for suspicious files and dirs, it may take a w...
/usr/lib/perl5/5.8.6/i386-linux-thread-multi/.packlist /...
i386-linux-thread-multi/auto/NKF/.packlist
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing founde
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing...
Searching for Anonoying rootkit default files and dirs.....
Searching for ZK rootkit default files and dirs... nothi...
Searching for ShKit rootkit default files and dirs... no...
Searching for AjaKit rootkit default files and dirs... n...
Searching for zaRwT rootkit default files and dirs... no...
Searching for Madalin rootkit default files... nothing f...
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for anomalies in shell history files... nothin...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET...
eth1: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
内訳を細かく見ていくと
ROOTDIR is `/'
1行目の ROOTDIR は / 配下すべてを検索対象としていると...
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
2行目以降の Checking は主なシステムファイルです。"not ...
ちなみに改竄されていると、そのファイルに対しては "INFEC...
Searching for sniffer's logs, it may take a while... not...
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing f...
Searching for t0rn's v8 defaults... nothing found
引き続き Searching と続いているのはワームやルートキット...
Searching for suspicious files and dirs, it may take a w...
ここではファイル名の先頭に . がついていて、怪しいと思わ...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
おっと、ここで bindshell が INFECTED とでてしまいました...
# /usr/sbin/lsof -i tcp:465
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sendmail 1996 root 6u IPv4 5783 TCP *:smtps ...
ポートの確認は lsof コマンドです。こちらはみての通り se...
Checking `sniffer'... eth0: not promisc and no PF_PACKET...
eth1: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
最後の方はネットワークがスキャン可能な状態ではないか(PR...
ちなみに、私は Vine 2.1.5(結構古いですが現役サーバです)...
OooPS!
chkproc: Warning: Possible LKM Trojan installed
とりあえず実行してみて、システムに異常が見受けられない...
** chkrootkit の実行オプション [#ufd37b25]
- "-h" ヘルプを表示します
# ./chkrootkit -h
Usage: ./chkrootkit [options] [test ...]
Options:
-h show this help and exit
-V show version information and e...
-l show available tests and exit
-d debug
-q quiet mode
-x expert mode
-r dir use dir as the root directory
-p dir1:dir2:dirN path for the external commands...
-n skip NFS mounted dirs
- "-V" バージョン番号を表示します
# ./chkrootkit -V
chkrootkit version 0.45
- "-l" chkktootkit の検査対象となるファイル一覧を表示しま...
# ./chkrootkit -l
./chkrootkit: tests: aliens asp bindshell lkm rexedcs sn...
scalper slapper z2 chkutmp amd basename biff chfn chsh c...
echo egrep env find fingerd gpm grep hdparm su ifconfig ...
identd init killall ldsopreload login ls lsof mail minge...
passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd sl...
syslogd tar tcpd tcpdump top telnetd timed traceroute vd...
- "-q" 静かなモード。問題となった項目しか表示しません。
# ./chkrootkit -q
/usr/lib/perl5/5.8.6/i386-linux-thread-multi/.packlist
/usr/lib/perl5/vendor_perl/5.8.6/i386-linux-thread-multi...
INFECTED (PORTS: 465)
- "-x" エキスパート(上級者向け)モードです。非常に膨大な...
# ./chkrootkit -x > check.log
- "-r" 検査対象となるディレクトリの指定です。たとえば、不...
# ./chkrootkit -r /mnt
- "-p" はオリジナルの /bin や /usr/bin 配下のファイルが汚...
# ./chkrootkit -p /media/cdrom/bin
>
"-r"と"-p"の違いは、"-r" が指定したディレクトリ配下を一...
# ./chkrootkit -p /bin:/sbin
このように、パスを ":" 記号で区切って指定します。
<
- "-n" NFS マウントされたディレクトリは検査対象外とします。
また、特定のプロセスやファイルのみチェックさせることも...
# ./chkrootkit ps ls
ROOTDIR is `/'
Checking `ps'... not infected
Checking `ls'... not infected
表示結果の詳細は[[README 日本語訳>chkrootkit README 日...
** chkrootkit の定期的な実行で監視体制を整える [#f13a0315]
せっかく便利なツールなので、毎日自動実行させるような体...
ここでは /usr/local に chkrootkit のコピーを置くように...
なお、ソースは /usr/local/chkrootkit-0.45 に展開したも...
まず、ソースのシンボリックリンクを /usr/local/chkrootki...
# ln -s /usr/local/src/chkrootkit-0.45 /usr/local/chkroo...
次にスクリプトファイルを作成します。
# vi /usr/local/bin/chkrootkit.sh
ファイルの中身は次のようなものです。
#!/bin/sh
cd /usr/local/chkrootkit
./chkrootkit | mail -s "[chkrootkit] HOSTNAME `date +%Y-...
このように記述してください。HOSTNAME は自分のホスト名を...
異常がでたときだけメッセージを出させたいときは以下のよ...
./chkrootkit -q | mail -s "[chkrootkit] HOSTNAME `date +...
次に実行権限を与えます。
# chmod +x /usr/local/bin/chkrootkit.sh
次は cron への登録です。
# crontab -e
と実行します。vi の cron 編集画面になりますので、
00 01 * * * /usr/local/bin/chkrootkit.sh > /dev/null...
この記述例では、毎日午前1時に chkrootkit.sh (先ほど記...
この段階で試しにスクリプトを実行してみると、メールが届...
# /usr/local/bin/chkrootkit.sh
あとは、毎日軽くチェックして、異常が見受けられないか確...
* chkrootkit 関連の日本語ドキュメント [#j14afb16]
- [[README 日本語訳>chkrootkit README 日本語訳]]
- [[FAQ 日本語版>chkrootkit FAQ 日本語訳]]
終了行:
[[LinuxSoft]]
#contents
----
* News [#n601e887]
- 2006年10月10日 chkrootkit [[最新版 Version 0.47 がリリ...
- 2006年10月11日 chkrootkit [[公式サイト>http://www.chkro...
* 公式サイト日本語化プロジェクト [#nd428bbb]
[[chkrootkit 公式サイト日本語化]]プロジェクトを開始しま...
- 公式サイト http://www.chkrootkit.org/
詳細な経緯は公式メーリングリスト users@chkrootkit.it.or...
開発者である Nelson 氏より許諾を頂きました。jp1.chkroot...
このプロジェクトの目的は公式サイトの忠実なる日本語化に...
最終的には chkrootkit を日本語(UTF-8)対応させるパッチを...
参加者&協力者&テスター募集中です。
許諾文章以下抜粋(英語です、、ごめんなさい)。
> My proposal is simple. That is in editing of pure
> www.chkrootkit.org. In other words, I translate Englis...
> of the site into Japanese. A display style there doesn...
> its place.
>
> It is inferior to ability in reading and writing becau...
> Japanese most part doesn't make English a main languag...
> disappointing. Even if you think "Is though it such ea...
>
> It is rather another problem that I am anxious. The pe...
> can't discuss English in the Japanese technician of li...
> fact to exist in many, too. (This comes off the main s...
> think that it can have it know as your reference.)
>
> In addition, I will sometimes appear at the site if th...
> the Japanese has renewal information. I want to provid...
> localization patch if it is possible, too.
Don't you care though you think that I will proceed with...
work with the above contents?
開発者の Nelson 氏からは "No problem. You're welcome. P...
* chkrootkit を使った不正侵入検知 [#q2f0d073]
** chkrootkit って何? [#v4ca30f1]
不正侵入検知、というところの chkrootkit (チェック・ルー...
chkrootkit は、これら rootkit を迅速に検査して、システ...
不正アクセスなんて関係ないよ?とは思っていませんか。た...
詳しい経緯をまとめますと、BIND は DNS サービスとして一...
OpenSSL の脆弱性では OpenSSL のライブラリを用いた mod_s...
このように、たとえ iptables で固めていようが専用ファイ...
急にネットワークがダウンしたり、急にコマンドが使えなく...
ですから、保険という意味でも、普段から不正侵入ツール群...
chkrootkit は判明している((存在が知られている有名なもの...
(同様な rootkit 検出ツールとして [[Rootkit Hunter:http:/...
** で、chkrootkit の情報はどこから? [#u47b1e2d]
chkrootkit の公式ページはこちらです
http://www.chkrootkit.org/
- 著作権
COPYRIGHT 1.2 (Pangeia Informatica) 2/21/97
Copyright 1996-2003 - Pangeia Informatica, All rights r...
** 対応 OS [#f08791bf]
>Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x,
>FreeBSD 2.2.x, 3.x, 4.x and 5.x, OpenBSD 2.x and 3.x., N...
>Solaris 2.5.1, 2.6, 8.0 and 9.0, HP-UX 11, Tru64 and BSDI.
>(README より)
** chkrootkit のインストール [#te964bd5]
インストール方法は至って簡単です。
$ wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.t...
公開されている [[MD5 チェックサム:ftp://ftp.pangeia.com...
$ md5sum chkrootkit.tar.gz
4c6455d202cef35395a673386e4bf01a8 chkrootkit.tar.gz
次にファイルを展開してディレクトリを移動します。
$ tar xfz chkrootkit.tar.gz
$ cd chkrootkit-0.47
次に make します。
$ make sense
これでバイナリの作成は終わりました。実行はそのディレク...
** chkrootkit の実行 [#l93b6bdd]
ソースを make したディレクトリで chkrootkit を実行しま...
注意点としては実行時には root ユーザ権限が必要となりま...
# ./chkrootkit
ちなみに以下が Fedora Core 4 で実行してみた結果です。
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... not...
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing f...
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothin...
Searching for RSHA's default files and dir... nothing fo...
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and ...
Searching for suspicious files and dirs, it may take a w...
/usr/lib/perl5/5.8.6/i386-linux-thread-multi/.packlist /...
i386-linux-thread-multi/auto/NKF/.packlist
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing founde
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing...
Searching for Anonoying rootkit default files and dirs.....
Searching for ZK rootkit default files and dirs... nothi...
Searching for ShKit rootkit default files and dirs... no...
Searching for AjaKit rootkit default files and dirs... n...
Searching for zaRwT rootkit default files and dirs... no...
Searching for Madalin rootkit default files... nothing f...
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for anomalies in shell history files... nothin...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET...
eth1: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
内訳を細かく見ていくと
ROOTDIR is `/'
1行目の ROOTDIR は / 配下すべてを検索対象としていると...
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
2行目以降の Checking は主なシステムファイルです。"not ...
ちなみに改竄されていると、そのファイルに対しては "INFEC...
Searching for sniffer's logs, it may take a while... not...
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing f...
Searching for t0rn's v8 defaults... nothing found
引き続き Searching と続いているのはワームやルートキット...
Searching for suspicious files and dirs, it may take a w...
ここではファイル名の先頭に . がついていて、怪しいと思わ...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
おっと、ここで bindshell が INFECTED とでてしまいました...
# /usr/sbin/lsof -i tcp:465
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sendmail 1996 root 6u IPv4 5783 TCP *:smtps ...
ポートの確認は lsof コマンドです。こちらはみての通り se...
Checking `sniffer'... eth0: not promisc and no PF_PACKET...
eth1: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
最後の方はネットワークがスキャン可能な状態ではないか(PR...
ちなみに、私は Vine 2.1.5(結構古いですが現役サーバです)...
OooPS!
chkproc: Warning: Possible LKM Trojan installed
とりあえず実行してみて、システムに異常が見受けられない...
** chkrootkit の実行オプション [#ufd37b25]
- "-h" ヘルプを表示します
# ./chkrootkit -h
Usage: ./chkrootkit [options] [test ...]
Options:
-h show this help and exit
-V show version information and e...
-l show available tests and exit
-d debug
-q quiet mode
-x expert mode
-r dir use dir as the root directory
-p dir1:dir2:dirN path for the external commands...
-n skip NFS mounted dirs
- "-V" バージョン番号を表示します
# ./chkrootkit -V
chkrootkit version 0.45
- "-l" chkktootkit の検査対象となるファイル一覧を表示しま...
# ./chkrootkit -l
./chkrootkit: tests: aliens asp bindshell lkm rexedcs sn...
scalper slapper z2 chkutmp amd basename biff chfn chsh c...
echo egrep env find fingerd gpm grep hdparm su ifconfig ...
identd init killall ldsopreload login ls lsof mail minge...
passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd sl...
syslogd tar tcpd tcpdump top telnetd timed traceroute vd...
- "-q" 静かなモード。問題となった項目しか表示しません。
# ./chkrootkit -q
/usr/lib/perl5/5.8.6/i386-linux-thread-multi/.packlist
/usr/lib/perl5/vendor_perl/5.8.6/i386-linux-thread-multi...
INFECTED (PORTS: 465)
- "-x" エキスパート(上級者向け)モードです。非常に膨大な...
# ./chkrootkit -x > check.log
- "-r" 検査対象となるディレクトリの指定です。たとえば、不...
# ./chkrootkit -r /mnt
- "-p" はオリジナルの /bin や /usr/bin 配下のファイルが汚...
# ./chkrootkit -p /media/cdrom/bin
>
"-r"と"-p"の違いは、"-r" が指定したディレクトリ配下を一...
# ./chkrootkit -p /bin:/sbin
このように、パスを ":" 記号で区切って指定します。
<
- "-n" NFS マウントされたディレクトリは検査対象外とします。
また、特定のプロセスやファイルのみチェックさせることも...
# ./chkrootkit ps ls
ROOTDIR is `/'
Checking `ps'... not infected
Checking `ls'... not infected
表示結果の詳細は[[README 日本語訳>chkrootkit README 日...
** chkrootkit の定期的な実行で監視体制を整える [#f13a0315]
せっかく便利なツールなので、毎日自動実行させるような体...
ここでは /usr/local に chkrootkit のコピーを置くように...
なお、ソースは /usr/local/chkrootkit-0.45 に展開したも...
まず、ソースのシンボリックリンクを /usr/local/chkrootki...
# ln -s /usr/local/src/chkrootkit-0.45 /usr/local/chkroo...
次にスクリプトファイルを作成します。
# vi /usr/local/bin/chkrootkit.sh
ファイルの中身は次のようなものです。
#!/bin/sh
cd /usr/local/chkrootkit
./chkrootkit | mail -s "[chkrootkit] HOSTNAME `date +%Y-...
このように記述してください。HOSTNAME は自分のホスト名を...
異常がでたときだけメッセージを出させたいときは以下のよ...
./chkrootkit -q | mail -s "[chkrootkit] HOSTNAME `date +...
次に実行権限を与えます。
# chmod +x /usr/local/bin/chkrootkit.sh
次は cron への登録です。
# crontab -e
と実行します。vi の cron 編集画面になりますので、
00 01 * * * /usr/local/bin/chkrootkit.sh > /dev/null...
この記述例では、毎日午前1時に chkrootkit.sh (先ほど記...
この段階で試しにスクリプトを実行してみると、メールが届...
# /usr/local/bin/chkrootkit.sh
あとは、毎日軽くチェックして、異常が見受けられないか確...
* chkrootkit 関連の日本語ドキュメント [#j14afb16]
- [[README 日本語訳>chkrootkit README 日本語訳]]
- [[FAQ 日本語版>chkrootkit FAQ 日本語訳]]
ページ名:
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
