rootkit検知ツール導入
2 12 月 2007
自動実行ファイルはコチラで公開しているスクリプトをそのまま使用しています。
まずchkrootkitをインストールする
# yum -y install chkrootkit Loading "fastestmirror" plugin Loading mirror speeds from cached hostfile Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package chkrootkit.i386 0:0.47-8.fc8 set to be updated --> Finished Dependency Resolution Dependencies Resolved ============================================================================= Package Arch Version Repository Size ============================================================================= Installing: chkrootkit i386 0.47-8.fc8 fedora 287 k Transaction Summary ============================================================================= Install 1 Package(s) Update 0 Package(s) Remove 0 Package(s) Total download size: 287 k Downloading Packages: (1/1): chkrootkit-0.47-8. 100% |=========================| 287 kB 00:00 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Installing: chkrootkit ######################### [1/1] Installed: chkrootkit.i386 0:0.47-8.fc8 Complete! chkrootkit を実行してみる # chkrootkit|grep INFECTED chkrootkit実行スクリプトを作成する # vi chkrootkit.sh -------------------------ここから------------------------- #!/bin/bash # chkrootkit実行 chkrootkit > /var/log/chkrootkit.log 2>&1 # SMTPSのbindshell誤検知対応 TMPLOG=`mktemp` grep INFECTED /var/log/chkrootkit.log > $TMPLOG if [ ! -z "$(grep 465 $TMPLOG)" ]; then if [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi fi # chkrootkit実行結果にINFECTED行があった場合のみroot宛メール送信 if [ -s $TMPLOG ]; then cat $TMPLOG|mail -s "chkrootkit report in `hostname`" root fi rm -f $TMPLOG -------------------------ここまで------------------------- "chkrootkit.sh" [新] 20L, 507C 書込み chkrootkit実行スクリプトに実行権を与える # chmod 700 chkrootkit.sh 毎日自動実行されるディレクトリへ移動する # mv chkrootkit.sh /etc/cron.daily/ |
No comments yet