chkrootkit インストール
chkrootkit インストールには、rpmforgeリポジトリが必要です。CentOS/rpmforgeリポジトリ
chkrootkit インストール
[root@linux ~]# yum -y --enablerepo=rpmforge install chkrootkit ←■ chkrootkitインストール
[root@linux ~]#
chkrootkit確認
[root@linux ~]# chkrootkit | grep INFECTED ←■ chkrootkit実行
[root@linux ~]# ←■ "INFECTED"という行が表示されなければ問題なし
chkrootkit 定期自動実行設定
- 毎日定期的にrootkitがインストールされていないかチェック
- インストールされていた場合はroot宛にメールが届く
- chkrootkitの実行結果は/var/log/messagesに保存
[root@linux ~]# vi /root/chkrootkit ←■ chkrootkit 実行スクリプト作成(中身は下記のchkrootkit.txtをコピー) [root@linux ~]# [root@linux ~]# chmod 700 /root/chkrootkit ←■ chkrootkit 実行スクリプトへ実行権限付加 [root@linux ~]# [root@linux ~]# mv /root/chkrootkit /etc/cron.daily/ ←■ chkrootkit 実行スクリプトを毎日自動実行されるディレクトリへ移動 [root@linux ~]#
chkrootkit実行スクリプト
chkrootkit.txt
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# chkrootkit実行
chkrootkit > $TMPLOG
# ログ出力
cat $TMPLOG | logger -t chkrootkit
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG以上で完了です。
0 件のコメント:
コメントを投稿