このWebサイト ひつじ帳 は、管理者がWEB関連の技術をまとめた備忘録サイトです。 Linux,CentOS,PHP,MySQL,Blogger,JavaScript,CSS について記録しています。

CentOS-5/chkrootkit(rootkit検知ツール導入)

[ CentOS/セキュリティ ]

chkrootkit インストール

chkrootkit インストールには、rpmforgeリポジトリが必要です。
CentOS/rpmforgeリポジトリ

chkrootkit インストール


[root@linux ~]# yum -y --enablerepo=rpmforge install chkrootkit ←■ chkrootkitインストール
[root@linux ~]#

chkrootkit確認


[root@linux ~]# chkrootkit | grep INFECTED ←■ chkrootkit実行
[root@linux ~]# ←■ "INFECTED"という行が表示されなければ問題なし

chkrootkit 定期自動実行設定

  • 毎日定期的にrootkitがインストールされていないかチェック
  • インストールされていた場合はroot宛にメールが届く
  • chkrootkitの実行結果は/var/log/messagesに保存
    
    [root@linux ~]# vi /root/chkrootkit ←■ chkrootkit 実行スクリプト作成(中身は下記のchkrootkit.txtをコピー)
    [root@linux ~]#
    [root@linux ~]# chmod 700 /root/chkrootkit ←■ chkrootkit 実行スクリプトへ実行権限付加
    [root@linux ~]#
    [root@linux ~]# mv /root/chkrootkit /etc/cron.daily/ ←■ chkrootkit 実行スクリプトを毎日自動実行されるディレクトリへ移動
    [root@linux ~]#
    


chkrootkit実行スクリプト

chkrootkit.txt

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

以上で完了です。

0 件のコメント:

人気記事

アーカイブ

ページ

このブログを検索