chkrootkit README 日本語訳
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[LinuxSoft]]
#contents
----
* ドキュメント和訳について [#a76eefb1]
オリジナルのドキュメントは http://www.chkrootkit.org/RE...
日本語版のドキュメント公開については%%念のため作者さん...
ドキュメントの内容は出来るだけオリジナル英語に忠実に翻...
* README 日本語訳 [#vfcc6414]
chkrootkit V. 0.45
Nelson Murilo <nelson@pangeia.com.br> (メイン開発者)&br;
Klaus Steding-Jessen <jessen@nic.br> (共同開発者)&br;
このプログラムはローカル環境で rootkit の兆候を検査する...
chkrootkit の情報は http://www.chkrootkit.org/ から得ら...
違法行為は許さないものです!&br;
私はこのツールをあなたが使用する事に関していかなる責任...
このツールには DFN-CERT、ハンブルグ大学(chklastlog と c...
** 1. What's chkrootkit? - chkrootkit とは何? [#ye118517]
chkrootkit はローカル環境で rootkit の兆候を検査するツ...
- chkrootkit : rootkit によってシステムコマンドが改竄され...
&br;&br;
- ifpromisc.c : ネットワーク・インターフェースが promiscu...
&br;&br;
- chklastlog.c: lastlog ファイルの中に削除された痕跡がな...
&br;&br;
- chkwtmp.c: wtmp ファイルの中に削除された痕跡がないか調...
&br;&br;
- check_wtmpx.c: wtmpx ファイルの中に削除された痕跡がない...
&br;&br;
- chkproc.c: LKM((Lodable Kernel Module=カーネル組み込み...
&br;&br;
- chkdirs.c: LKM トロイの木馬(trojan) の兆候を調べます。
&br;&br;
- strings.c: 高速で改竄された文字列を検索します。
&br;&br;
- chkutmp.c: utmp ファイルの中に削除された痕跡がないか調...
chkwtmp と chklastlog プログラムは wtmp と lastlog ファ...
外部ツールはスニファーのログと rootkit 用の設定ファイル...
chkproc は /proc 配下の構造を調べ ps コマンドに隠されて...
** 2. Rootkits, Worms and LKMs detected - Rootkit、ワーム...
chkrootkit によって検出できる rootkit やワーム、LKM の...
** 3. Supported Systems - 動作環境 [#hee17e07]
chkrootkit は以下の環境でテスト済みです。&br;
Linux 2.0.x, 2.2.x, 2.4.x と 2.6.x,&br;
FreeBSD 2.2.x, 3.x, 4.x と 5.x, OpenBSD&br; 2.x と 3.x....
Solaris 2.5.1, 2.6, 8.0 と 9.0, HP-UX 11, Tru64 と BSDI.
** 4. Package Contents - 配布物 [#vee8044c]
README&br;
README.chklastlog&br;
README.chkwtmp&br;
COPYRIGHT&br;
chkrootkit.lsm&br;
&br;
Makefile&br;
chklastlog.c&br;
chkproc.c&br;
chkdirs.c&br;
chkwtmp.c&br;
check_wtmpx.c&br;
ifpromisc.c&br;
strings.c&br;
chkutmp.c&br;
&br;
chkrootkit&br;
** 5. Installation - インストール [#vb464ae9]
C 言語をコンパイルするには、次のようにします。
# make sense
これでもう利用可能です。使う場合は次の単純な入力をして下...
# ./chkrootkit
** 6. Usage - 使い方 [#s2ff5821]
chkrootkit は root ユーザによって実行されなくてはいけま...
# ./chkrootkit
です。これにより全ての検査が実行されます。また必要に応じ...
使い方: ./chkrootkit [オプション] [検査対象ファイル ...]
オプション:
-h このヘルプを表示して終了します
-V バージョン情報を表示して終了し...
-l テスト対象のファイルを表示します
-d デバッグ用です
-q 静かなモードです
-x エキスパートモードです
-r dir 特定のディレクトリを / 階層と...
-p dir1:dir2:dirN chkrootkit が使う外部コマンド...
-n NFS でマウントされているディレ...
検査対象となるファイルは以下の通りです。
aliens asp bindshell lkm rexedcs sniffer w55808 wted sc...
たとえば、改竄された可能性のある ps と ls コマンドに加...
# ./chkrootkit ps ls sniffer
'-q' オプションを使うことで出力されるメッセージを出来る...
'-x' オプションを使うことで実際にどのようなファイルにた...
たくさんのデータが表示されるので、次のようにしてみてく...
# ./chkrootkit -x | more
システムコマンドのパスのみ調べるときは次のようにします。
# ./chkrootkit -x | egrep '^/'
chkrootkit は検査時に以下のコマンドを使います。
awk, cut, egrep, find, head, id, ls, netstat, ps, strin...
もし可能であれば、これらのコマンド群が改竄されている事...
たとえば /cdrom/bin にコマンドがある場合は、
# ./chkrootkit -p /cdrom/bin
複数のパスを : で区切れます
# ./chkrootkit -p /cdrom/bin:/floppy/mybin
場合によっては改竄されたマシンの解析をするときに、ディ...
たとえば、検査対象となるディスクが /mnt にマウントされ...
# ./chkrootkit -r /mnt
** 7. Output Messages - chkrootkit の出力メッセージについ...
chkrootkit によって以下のメッセージが表示されます(-x ...
- "INFECTED"(改竄されている): おそらく既知の rookit によ...
- "not infected"(改竄されていない): rootkit によると思わ...
- "not tested"(テストされない): テストが実行されませんで...
++ OS の特定ができない
++ 外部コマンドが利用できなかった
++ コマンドラインで特定のオプションが実行された(例 -r)
- "not found"(見つかりません):検査対象のコマンドが見つか...
- "Vulnerable but disabled"(攻撃可能だが今は無効化されて...
** 8. A trojaned command has been found. What should I d...
このような場合、悪人によって root 権限が奪取され、マシ...
改竄されたコマンドを正しいファイルに置き換えることによ...
** 9. Reports and questions - 報告や質問 [#f481e65d]
コメントや質問、バグレポートは nelson@pangeia.com.br と...
簡単な FAQ (よくあるQ&A集)と rootkit やセキュリティに関...
** 10. ACKNOWLEDGMENTS - 謝辞 [#k82de172]
アーカイブファイルに含まれる ACKNOWLEDGMENTS ファイルを...
** 11. ChangeLog - 更新記録 [#n9b146e7]
02/20/1997 - Initial release
02/25/1997 - Version 0.4, formal testing.
03/30/1997 - Version 0.5, suspect files routine added.
06/11/1997 - Version 0.6, minor fixes and Debian compati...
06/24/1997 - Version 0.7, FreeBSD compatibility fixed.
08/07/1997 - Version 0.8, yet another FreeBSD compatibil...
RedHat PAM fixed.
04/02/1998 - Version 0.9, new r00tkits versions support.
07/03/1998 - Version 0.10, another types of r00tkits sup...
10/15/1998 - Version 0.11, bug found by Alberto Courrege...
11/30/1998 - Version 0.12, lrk4 support added.
12/26/1998 - Version 0.13, minor fixes for Red Hat and g...
06/14/1999 - Version 0.14, Sun/Solaris initial support a...
04/29/2000 - Version 0.15, lrk5 features added and minor...
07/09/2000 - Version 0.16, new r00tkits types support an...
09/16/2000 - Version 0.17, more contrib patches, rootkit...
Loadable Kernel Modules (LKM)...
added.
10/08/2000 - Version 0.18, new rookits types support and...
12/24/2000 - Version 0.19, -r, -p, -l options added. AR...
added. Some bug fixes.
01/18/2001 - Version 0.20, Ramen Worm and latest t0rnkit...
temporay check for promisc mo...
on Solaris boxes.
01/19/2001 - Version 0.21, Corrects a bug in the Ramen W...
01/26/2001 - Version 0.22, chklastlog core dump bug fixe...
bindshell false positives fix...
improvement.
03/12/2001 - Version 0.23, lrk6, rh[67]-shaper, RSHA and...
rootkit detection. Test for ...
file anomalies. More ports a...
bindshell test.
03/15/2001 - Version 0.23a fixes a bug found in the cron...
bindshell tests.
03/22/2001 - Version 0.30 lots of new tests added. RK1...
Worm detection.
04/07/2001 - Version 0.31 new tests: gpm, rlogind, mget...
Worm detection. Some bug fix...
05/07/2001 - Version 0.32 t0rn v8, LPD Worm, kenny-rk a...
detection. Some Solaris bug f...
06/02/2001 - Version 0.33 new tests added. ShitC, Omeg...
Worm detection. dsc-rootkit ...
Some bug fixes.
09/19/2001 - Version 0.34 new tests added. check_wtmpx...
Ducoci rootkit and x.c Worm d...
`-q' option added.
01/17/2002 - Version 0.35 tests added: lsof and ldsopre...
strings.c added. Ports added...
bindshell test. RST.b, duara...
LKM, Monkit, Hidrootkit, Bobk...
t0rn v8.0 (variant) detection.
06/15/2002 - Version 0.36 test added: w. chkproc.c add...
Showtee, Optickit, T.R.K, Mit...
Rootkit, George and SucKIT de...
09/16/2002 - Version 0.37 tests added: scalper and slap...
Scalper Worm, Slapper Worm, O...
v1, Illogic and SK rootkit de...
chklastlog.c and chkproc.c im...
Small chkrootkit bug fix.
12/20/2002 - Version 0.38 chkdirs.c added. chkproc.c i...
slapper B, sebek LKM, LOC, Ro...
rootkit detection. new test ...
tcpdump. Minor bug fixes in ...
chkrootkit script.
01/30/2003 - Version 0.39 chkdirs.c and chkproc.c fixes...
in the chkrootkit script. (m...
variants detection.
04/03/2003 - Version 0.40 chkproc.c fixes. Tru64 suppo...
corrections in chkrootkit. N...
added: init. New rootkits de...
Aquatica, ZK.
06/20/2003 - Version 0.41 chkproc.c fixes. New test ad...
New worms detected: 55808.A a...
rootkits detected: Volc, Gold...
Suckit (improved), ZK (improv...
corrections.
09/12/2003 - Version 0.42 BSDI support for chkdirs.c. ...
fix. New rootkit detected: S...
ifpromisc test fixed for Linu...
kernels. corrections for the ...
FreeBSD 5.x support. HPUX co...
Extra "\n" removed from chkla...
output.
09/18/2003 - Version 0.42a Bug fix release.
09/20/2003 - Version 0.42b Bug fix release.
12/27/2003 - Version 0.43 C++ comments removed from chk...
rootkits detected: AjaKit and...
CGI backdoors detected. ifpr...
better detection of promisc m...
Linux kernels. New command l...
(-n) to skip NFS mounted dirs...
corrections.
09/01/2004 - Version 0.44 chkwtmp.c: del counter fixed....
better support for Linux thre...
rootkit detected: Madalin. L...
bug fixes.
02/22/2005 - Version 0.45 chkproc.c: better support for...
threads. New rootkit detecte...
Kenga3, ESRK. New test: chku...
option improvement. Minor bu...
終了行:
[[LinuxSoft]]
#contents
----
* ドキュメント和訳について [#a76eefb1]
オリジナルのドキュメントは http://www.chkrootkit.org/RE...
日本語版のドキュメント公開については%%念のため作者さん...
ドキュメントの内容は出来るだけオリジナル英語に忠実に翻...
* README 日本語訳 [#vfcc6414]
chkrootkit V. 0.45
Nelson Murilo <nelson@pangeia.com.br> (メイン開発者)&br;
Klaus Steding-Jessen <jessen@nic.br> (共同開発者)&br;
このプログラムはローカル環境で rootkit の兆候を検査する...
chkrootkit の情報は http://www.chkrootkit.org/ から得ら...
違法行為は許さないものです!&br;
私はこのツールをあなたが使用する事に関していかなる責任...
このツールには DFN-CERT、ハンブルグ大学(chklastlog と c...
** 1. What's chkrootkit? - chkrootkit とは何? [#ye118517]
chkrootkit はローカル環境で rootkit の兆候を検査するツ...
- chkrootkit : rootkit によってシステムコマンドが改竄され...
&br;&br;
- ifpromisc.c : ネットワーク・インターフェースが promiscu...
&br;&br;
- chklastlog.c: lastlog ファイルの中に削除された痕跡がな...
&br;&br;
- chkwtmp.c: wtmp ファイルの中に削除された痕跡がないか調...
&br;&br;
- check_wtmpx.c: wtmpx ファイルの中に削除された痕跡がない...
&br;&br;
- chkproc.c: LKM((Lodable Kernel Module=カーネル組み込み...
&br;&br;
- chkdirs.c: LKM トロイの木馬(trojan) の兆候を調べます。
&br;&br;
- strings.c: 高速で改竄された文字列を検索します。
&br;&br;
- chkutmp.c: utmp ファイルの中に削除された痕跡がないか調...
chkwtmp と chklastlog プログラムは wtmp と lastlog ファ...
外部ツールはスニファーのログと rootkit 用の設定ファイル...
chkproc は /proc 配下の構造を調べ ps コマンドに隠されて...
** 2. Rootkits, Worms and LKMs detected - Rootkit、ワーム...
chkrootkit によって検出できる rootkit やワーム、LKM の...
** 3. Supported Systems - 動作環境 [#hee17e07]
chkrootkit は以下の環境でテスト済みです。&br;
Linux 2.0.x, 2.2.x, 2.4.x と 2.6.x,&br;
FreeBSD 2.2.x, 3.x, 4.x と 5.x, OpenBSD&br; 2.x と 3.x....
Solaris 2.5.1, 2.6, 8.0 と 9.0, HP-UX 11, Tru64 と BSDI.
** 4. Package Contents - 配布物 [#vee8044c]
README&br;
README.chklastlog&br;
README.chkwtmp&br;
COPYRIGHT&br;
chkrootkit.lsm&br;
&br;
Makefile&br;
chklastlog.c&br;
chkproc.c&br;
chkdirs.c&br;
chkwtmp.c&br;
check_wtmpx.c&br;
ifpromisc.c&br;
strings.c&br;
chkutmp.c&br;
&br;
chkrootkit&br;
** 5. Installation - インストール [#vb464ae9]
C 言語をコンパイルするには、次のようにします。
# make sense
これでもう利用可能です。使う場合は次の単純な入力をして下...
# ./chkrootkit
** 6. Usage - 使い方 [#s2ff5821]
chkrootkit は root ユーザによって実行されなくてはいけま...
# ./chkrootkit
です。これにより全ての検査が実行されます。また必要に応じ...
使い方: ./chkrootkit [オプション] [検査対象ファイル ...]
オプション:
-h このヘルプを表示して終了します
-V バージョン情報を表示して終了し...
-l テスト対象のファイルを表示します
-d デバッグ用です
-q 静かなモードです
-x エキスパートモードです
-r dir 特定のディレクトリを / 階層と...
-p dir1:dir2:dirN chkrootkit が使う外部コマンド...
-n NFS でマウントされているディレ...
検査対象となるファイルは以下の通りです。
aliens asp bindshell lkm rexedcs sniffer w55808 wted sc...
たとえば、改竄された可能性のある ps と ls コマンドに加...
# ./chkrootkit ps ls sniffer
'-q' オプションを使うことで出力されるメッセージを出来る...
'-x' オプションを使うことで実際にどのようなファイルにた...
たくさんのデータが表示されるので、次のようにしてみてく...
# ./chkrootkit -x | more
システムコマンドのパスのみ調べるときは次のようにします。
# ./chkrootkit -x | egrep '^/'
chkrootkit は検査時に以下のコマンドを使います。
awk, cut, egrep, find, head, id, ls, netstat, ps, strin...
もし可能であれば、これらのコマンド群が改竄されている事...
たとえば /cdrom/bin にコマンドがある場合は、
# ./chkrootkit -p /cdrom/bin
複数のパスを : で区切れます
# ./chkrootkit -p /cdrom/bin:/floppy/mybin
場合によっては改竄されたマシンの解析をするときに、ディ...
たとえば、検査対象となるディスクが /mnt にマウントされ...
# ./chkrootkit -r /mnt
** 7. Output Messages - chkrootkit の出力メッセージについ...
chkrootkit によって以下のメッセージが表示されます(-x ...
- "INFECTED"(改竄されている): おそらく既知の rookit によ...
- "not infected"(改竄されていない): rootkit によると思わ...
- "not tested"(テストされない): テストが実行されませんで...
++ OS の特定ができない
++ 外部コマンドが利用できなかった
++ コマンドラインで特定のオプションが実行された(例 -r)
- "not found"(見つかりません):検査対象のコマンドが見つか...
- "Vulnerable but disabled"(攻撃可能だが今は無効化されて...
** 8. A trojaned command has been found. What should I d...
このような場合、悪人によって root 権限が奪取され、マシ...
改竄されたコマンドを正しいファイルに置き換えることによ...
** 9. Reports and questions - 報告や質問 [#f481e65d]
コメントや質問、バグレポートは nelson@pangeia.com.br と...
簡単な FAQ (よくあるQ&A集)と rootkit やセキュリティに関...
** 10. ACKNOWLEDGMENTS - 謝辞 [#k82de172]
アーカイブファイルに含まれる ACKNOWLEDGMENTS ファイルを...
** 11. ChangeLog - 更新記録 [#n9b146e7]
02/20/1997 - Initial release
02/25/1997 - Version 0.4, formal testing.
03/30/1997 - Version 0.5, suspect files routine added.
06/11/1997 - Version 0.6, minor fixes and Debian compati...
06/24/1997 - Version 0.7, FreeBSD compatibility fixed.
08/07/1997 - Version 0.8, yet another FreeBSD compatibil...
RedHat PAM fixed.
04/02/1998 - Version 0.9, new r00tkits versions support.
07/03/1998 - Version 0.10, another types of r00tkits sup...
10/15/1998 - Version 0.11, bug found by Alberto Courrege...
11/30/1998 - Version 0.12, lrk4 support added.
12/26/1998 - Version 0.13, minor fixes for Red Hat and g...
06/14/1999 - Version 0.14, Sun/Solaris initial support a...
04/29/2000 - Version 0.15, lrk5 features added and minor...
07/09/2000 - Version 0.16, new r00tkits types support an...
09/16/2000 - Version 0.17, more contrib patches, rootkit...
Loadable Kernel Modules (LKM)...
added.
10/08/2000 - Version 0.18, new rookits types support and...
12/24/2000 - Version 0.19, -r, -p, -l options added. AR...
added. Some bug fixes.
01/18/2001 - Version 0.20, Ramen Worm and latest t0rnkit...
temporay check for promisc mo...
on Solaris boxes.
01/19/2001 - Version 0.21, Corrects a bug in the Ramen W...
01/26/2001 - Version 0.22, chklastlog core dump bug fixe...
bindshell false positives fix...
improvement.
03/12/2001 - Version 0.23, lrk6, rh[67]-shaper, RSHA and...
rootkit detection. Test for ...
file anomalies. More ports a...
bindshell test.
03/15/2001 - Version 0.23a fixes a bug found in the cron...
bindshell tests.
03/22/2001 - Version 0.30 lots of new tests added. RK1...
Worm detection.
04/07/2001 - Version 0.31 new tests: gpm, rlogind, mget...
Worm detection. Some bug fix...
05/07/2001 - Version 0.32 t0rn v8, LPD Worm, kenny-rk a...
detection. Some Solaris bug f...
06/02/2001 - Version 0.33 new tests added. ShitC, Omeg...
Worm detection. dsc-rootkit ...
Some bug fixes.
09/19/2001 - Version 0.34 new tests added. check_wtmpx...
Ducoci rootkit and x.c Worm d...
`-q' option added.
01/17/2002 - Version 0.35 tests added: lsof and ldsopre...
strings.c added. Ports added...
bindshell test. RST.b, duara...
LKM, Monkit, Hidrootkit, Bobk...
t0rn v8.0 (variant) detection.
06/15/2002 - Version 0.36 test added: w. chkproc.c add...
Showtee, Optickit, T.R.K, Mit...
Rootkit, George and SucKIT de...
09/16/2002 - Version 0.37 tests added: scalper and slap...
Scalper Worm, Slapper Worm, O...
v1, Illogic and SK rootkit de...
chklastlog.c and chkproc.c im...
Small chkrootkit bug fix.
12/20/2002 - Version 0.38 chkdirs.c added. chkproc.c i...
slapper B, sebek LKM, LOC, Ro...
rootkit detection. new test ...
tcpdump. Minor bug fixes in ...
chkrootkit script.
01/30/2003 - Version 0.39 chkdirs.c and chkproc.c fixes...
in the chkrootkit script. (m...
variants detection.
04/03/2003 - Version 0.40 chkproc.c fixes. Tru64 suppo...
corrections in chkrootkit. N...
added: init. New rootkits de...
Aquatica, ZK.
06/20/2003 - Version 0.41 chkproc.c fixes. New test ad...
New worms detected: 55808.A a...
rootkits detected: Volc, Gold...
Suckit (improved), ZK (improv...
corrections.
09/12/2003 - Version 0.42 BSDI support for chkdirs.c. ...
fix. New rootkit detected: S...
ifpromisc test fixed for Linu...
kernels. corrections for the ...
FreeBSD 5.x support. HPUX co...
Extra "\n" removed from chkla...
output.
09/18/2003 - Version 0.42a Bug fix release.
09/20/2003 - Version 0.42b Bug fix release.
12/27/2003 - Version 0.43 C++ comments removed from chk...
rootkits detected: AjaKit and...
CGI backdoors detected. ifpr...
better detection of promisc m...
Linux kernels. New command l...
(-n) to skip NFS mounted dirs...
corrections.
09/01/2004 - Version 0.44 chkwtmp.c: del counter fixed....
better support for Linux thre...
rootkit detected: Madalin. L...
bug fixes.
02/22/2005 - Version 0.45 chkproc.c: better support for...
threads. New rootkit detecte...
Kenga3, ESRK. New test: chku...
option improvement. Minor bu...
ページ名: