rkdet
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[LinuxSoft]]
#contents
----
* rkdet で不正アクセス時にシステムを自動停止 [#bba6a3db]
** rkdet って何? [#g7740fc3]
rkdet = rootkit detector for Linux (Linux 用ルートキッ...
不正アクセス時に ps コマンドや kill コマンドが改竄され...
が、この rkdet を使えばシステムの異常を検出すると自動で...
デーモンとしても軽量なので、とりあえず監視用といいます...
ちなみにネットワークに切り離す前に root 宛にログをメー...
mailfmt;4;/bin/mail -s 'Intrusion Report for %s' root
また、チェックサムの検査対象も同じくソースを展開したデ...
/usr/bin/md5sum
/usr/sbin/rkdet
/bin/ps
/bin/ls
/bin/netstat
/bin/login
/usr/bin/du
/usr/bin/find
/usr/bin/crontab
/usr/bin/killall
/bin/kill
/usr/bin/passwd
/usr/bin/top
/usr/sbin/sshd
/usr/bin/md5sum
/lib/libcrypt.so.1
/lib/libpam.so.0
/lib/libpam_misc.so.0
詳しくは[[ドキュメントの概要:http://pocketstudio.jp/lin...
** rkdet の入手 [#i8879f25]
- rkdet - rootkit detector for Linux
http://vancouver-webpages.com/rkdet/
** rkdet のライセンス [#f4649879]
フリーソフトウェアなので無料で利用できます。作者さんに...
License:
rkdet is freeware. rkdet incorporates code by David A. C...
from "ifstatus", which is in the public domain.
(READMEより)
** rkdet のインストール [#g42c014b]
インストール作業自体は手軽です。作業環境は Fedora Core ...
1. ソースを入手して展開、ディレクトリ移動します(このあた...
$ wget http://vancouver-webpages.com/rkdet/rkdet-0.53.ta...
$ tar xfz rkdet-0.53.tar.gz
$ cd rkdet-0.53
2. 次は configure です。対話式に進みますが、基本的に何も...
エンターキーの連続で OK です。
# ./configure
Choose name for rkdet (recommend renaming)
rkdet
Select checksum program:
/usr/bin/md5sum
Select mail command:
"/bin/mail -s 'Intrusion Report for %s' root"
Select startup message:
(See your network guru for details)
Select run argument (see documentation):
163
Select netstat:
/bin/netstat
Select WAN disconnect command:
/sbin/route del default
Select LAN disconnect command:
/sbin/ifconfig eth0 down
Select logfile:
/var/log/rkdet.log
Select who command:
/usr/bin/w
Select down message:
"Checksum failure - disconnecting network"
Select mail subject:
"Intruder Report for"
Select kill message:
"Attempt to kill rkdet"
Select delete tool:
/bin/rm
Choose install directory
/usr/sbin
Select files to check:
ps (/bin/ps)
ls (/bin/ls)
netstat (/bin/netstat)
login (/bin/login)
inetd ()
not found; will not check inetd
du (/usr/bin/du)
find (/usr/bin/find)
crontab (/usr/bin/crontab)
killall (/usr/bin/killall)
kill (/bin/kill)
passwd (/usr/bin/passwd)
top (/usr/bin/top)
sshd (/usr/sbin/sshd)
md5sum (/usr/bin/md5sum)
libcrypt.so.1 (/lib/libcrypt.so.1)
libpam.so.0 (/lib/libpam.so.0)
libpam_misc.so.0 (/lib/libpam_misc.so.0)
3. make, install します
$ make
# make install
4. サービスに登録します
# /sbin/chkconfig --add rkdet
なお、自動でランレベル 345 で起動するようになっているの...
# /sbin/chkconfig --list rkdet
rkdet 0:off 1:off 2:on 3:on 4:on ...
5. サービスを起動します。
# /sbin/service rkdet start
Starting rkdet
(See your network guru for details) ...
6. 念のためプロセスを確認します。
ps ax | grep rkdet
8253 ? Ss 0:00 rkdet 163
このように rkdet というデーモンが動いているのが確認でき...
* ドキュメント和訳 [#h03f876d]
- [[ドキュメント和訳:http://pocketstudio.jp/linux/?rkdit%...
- [[README 和訳版:http://pocketstudio.jp/linux/?rkdat%20R...
* 簡単な実地テスト [#rc6ac740]
実際に試さないと分からないだろう(w ということで、実験し...
# cp -p /bin/ls /bin/ls.org
まずは、バックアップを取って、
# vi /bin/ls
で、適当にバイナリの中に文字列を入れます。
……で暫くすると……キタ━(゚∀゚)━ッ!!
いきなりネットワークから落とされました。ローカルのマシ...
で、件のローカルマシンをコンソールからつないでみると、...
sion rkedet : Checksum failuer - disconnecting network
(sion というのはこのテストをしたホスト名です。)
ついでに、メールもチェックすると……ばっちり /bin/ls のチ...
From root@sion.pocketstudio.jp Tue Jul 19 16:06:05 2005
Return-Path: <root@sion.pocketstudio.jp>
Received: from sion.pocketstudio.jp (sion [127.0.0.1])
by sion.pocketstudio.jp (8.13.4/8.13.4) with ESM...
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA b...
for <root@sion.pocketstudio.jp>; Tue, 19 Jul 200...
Received: (from root@localhost)
by sion.pocketstudio.jp (8.13.4/8.13.4/Submit) i...
for root; Tue, 19 Jul 2005 16:06:05 +0900
Date: Tue, 19 Jul 2005 16:06:05 +0900
From: root <root@sion.pocketstudio.jp>
Message-Id: <200507190706.j6J765Xs009780@sion.pocketstud...
To: root@sion.pocketstudio.jp
Subject: Intrusion Report for sion
Intruder Report for sion
Tue Jul 19 16:06:05 2005
Checksums differ: /bin/ls
16:06:05 up 9:49, 4 users, load average: 0.00, 0.00,...
USER TTY FROM LOGIN@ IDLE JCPU...
root tty1 - 16:01 4:01 0.13s...
zem pts/0 sakura2.internal 14:37 1:19m 0.04s...
zem pts/1 sakura2.internal 10:42 5:24 0.22s...
zem pts/2 sakura2.internal 16:05 2.00s 0.04s...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign ...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
また、メールと同様のログが /var/log/rkdat.log ファイル...
# cat /var/log/rkdet.log
Intruder Report for sion
Tue Jul 19 16:06:05 2005
Checksums differ: /bin/ls
16:06:05 up 9:49, 4 users, load average: 0.00, 0.00,...
USER TTY FROM LOGIN@ IDLE JCPU...
root tty1 - 16:01 4:01 0.13s...
zem pts/0 sakura2.internal 14:37 1:19m 0.04s...
zem pts/1 sakura2.internal 10:42 5:24 0.22s...
zem pts/2 sakura2.internal 16:05 2.00s 0.04s...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign ...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
ただ、このソフトは promiscus モードを検出すると勝手にネ...
終了行:
[[LinuxSoft]]
#contents
----
* rkdet で不正アクセス時にシステムを自動停止 [#bba6a3db]
** rkdet って何? [#g7740fc3]
rkdet = rootkit detector for Linux (Linux 用ルートキッ...
不正アクセス時に ps コマンドや kill コマンドが改竄され...
が、この rkdet を使えばシステムの異常を検出すると自動で...
デーモンとしても軽量なので、とりあえず監視用といいます...
ちなみにネットワークに切り離す前に root 宛にログをメー...
mailfmt;4;/bin/mail -s 'Intrusion Report for %s' root
また、チェックサムの検査対象も同じくソースを展開したデ...
/usr/bin/md5sum
/usr/sbin/rkdet
/bin/ps
/bin/ls
/bin/netstat
/bin/login
/usr/bin/du
/usr/bin/find
/usr/bin/crontab
/usr/bin/killall
/bin/kill
/usr/bin/passwd
/usr/bin/top
/usr/sbin/sshd
/usr/bin/md5sum
/lib/libcrypt.so.1
/lib/libpam.so.0
/lib/libpam_misc.so.0
詳しくは[[ドキュメントの概要:http://pocketstudio.jp/lin...
** rkdet の入手 [#i8879f25]
- rkdet - rootkit detector for Linux
http://vancouver-webpages.com/rkdet/
** rkdet のライセンス [#f4649879]
フリーソフトウェアなので無料で利用できます。作者さんに...
License:
rkdet is freeware. rkdet incorporates code by David A. C...
from "ifstatus", which is in the public domain.
(READMEより)
** rkdet のインストール [#g42c014b]
インストール作業自体は手軽です。作業環境は Fedora Core ...
1. ソースを入手して展開、ディレクトリ移動します(このあた...
$ wget http://vancouver-webpages.com/rkdet/rkdet-0.53.ta...
$ tar xfz rkdet-0.53.tar.gz
$ cd rkdet-0.53
2. 次は configure です。対話式に進みますが、基本的に何も...
エンターキーの連続で OK です。
# ./configure
Choose name for rkdet (recommend renaming)
rkdet
Select checksum program:
/usr/bin/md5sum
Select mail command:
"/bin/mail -s 'Intrusion Report for %s' root"
Select startup message:
(See your network guru for details)
Select run argument (see documentation):
163
Select netstat:
/bin/netstat
Select WAN disconnect command:
/sbin/route del default
Select LAN disconnect command:
/sbin/ifconfig eth0 down
Select logfile:
/var/log/rkdet.log
Select who command:
/usr/bin/w
Select down message:
"Checksum failure - disconnecting network"
Select mail subject:
"Intruder Report for"
Select kill message:
"Attempt to kill rkdet"
Select delete tool:
/bin/rm
Choose install directory
/usr/sbin
Select files to check:
ps (/bin/ps)
ls (/bin/ls)
netstat (/bin/netstat)
login (/bin/login)
inetd ()
not found; will not check inetd
du (/usr/bin/du)
find (/usr/bin/find)
crontab (/usr/bin/crontab)
killall (/usr/bin/killall)
kill (/bin/kill)
passwd (/usr/bin/passwd)
top (/usr/bin/top)
sshd (/usr/sbin/sshd)
md5sum (/usr/bin/md5sum)
libcrypt.so.1 (/lib/libcrypt.so.1)
libpam.so.0 (/lib/libpam.so.0)
libpam_misc.so.0 (/lib/libpam_misc.so.0)
3. make, install します
$ make
# make install
4. サービスに登録します
# /sbin/chkconfig --add rkdet
なお、自動でランレベル 345 で起動するようになっているの...
# /sbin/chkconfig --list rkdet
rkdet 0:off 1:off 2:on 3:on 4:on ...
5. サービスを起動します。
# /sbin/service rkdet start
Starting rkdet
(See your network guru for details) ...
6. 念のためプロセスを確認します。
ps ax | grep rkdet
8253 ? Ss 0:00 rkdet 163
このように rkdet というデーモンが動いているのが確認でき...
* ドキュメント和訳 [#h03f876d]
- [[ドキュメント和訳:http://pocketstudio.jp/linux/?rkdit%...
- [[README 和訳版:http://pocketstudio.jp/linux/?rkdat%20R...
* 簡単な実地テスト [#rc6ac740]
実際に試さないと分からないだろう(w ということで、実験し...
# cp -p /bin/ls /bin/ls.org
まずは、バックアップを取って、
# vi /bin/ls
で、適当にバイナリの中に文字列を入れます。
……で暫くすると……キタ━(゚∀゚)━ッ!!
いきなりネットワークから落とされました。ローカルのマシ...
で、件のローカルマシンをコンソールからつないでみると、...
sion rkedet : Checksum failuer - disconnecting network
(sion というのはこのテストをしたホスト名です。)
ついでに、メールもチェックすると……ばっちり /bin/ls のチ...
From root@sion.pocketstudio.jp Tue Jul 19 16:06:05 2005
Return-Path: <root@sion.pocketstudio.jp>
Received: from sion.pocketstudio.jp (sion [127.0.0.1])
by sion.pocketstudio.jp (8.13.4/8.13.4) with ESM...
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA b...
for <root@sion.pocketstudio.jp>; Tue, 19 Jul 200...
Received: (from root@localhost)
by sion.pocketstudio.jp (8.13.4/8.13.4/Submit) i...
for root; Tue, 19 Jul 2005 16:06:05 +0900
Date: Tue, 19 Jul 2005 16:06:05 +0900
From: root <root@sion.pocketstudio.jp>
Message-Id: <200507190706.j6J765Xs009780@sion.pocketstud...
To: root@sion.pocketstudio.jp
Subject: Intrusion Report for sion
Intruder Report for sion
Tue Jul 19 16:06:05 2005
Checksums differ: /bin/ls
16:06:05 up 9:49, 4 users, load average: 0.00, 0.00,...
USER TTY FROM LOGIN@ IDLE JCPU...
root tty1 - 16:01 4:01 0.13s...
zem pts/0 sakura2.internal 14:37 1:19m 0.04s...
zem pts/1 sakura2.internal 10:42 5:24 0.22s...
zem pts/2 sakura2.internal 16:05 2.00s 0.04s...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign ...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
また、メールと同様のログが /var/log/rkdat.log ファイル...
# cat /var/log/rkdet.log
Intruder Report for sion
Tue Jul 19 16:06:05 2005
Checksums differ: /bin/ls
16:06:05 up 9:49, 4 users, load average: 0.00, 0.00,...
USER TTY FROM LOGIN@ IDLE JCPU...
root tty1 - 16:01 4:01 0.13s...
zem pts/0 sakura2.internal 14:37 1:19m 0.04s...
zem pts/1 sakura2.internal 10:42 5:24 0.22s...
zem pts/2 sakura2.internal 16:05 2.00s 0.04s...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign ...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
tcp 0 0 ::ffff:192.168.11.253:22 ::ffff:1...
ただ、このソフトは promiscus モードを検出すると勝手にネ...
ページ名:
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
