●Root Kit
クラッカーがコンピュータに侵入した後に利用するソフトウェア(まとめたパッケージ)。
侵入を隠蔽するためのログの改ざんツール、侵入口が塞がれても再び侵入できるようにする裏口(バックドア)ツール、侵入に気付かれないための改ざんされたシステムコマンド群などをインストールする。
これらをチェックするツールとしてrkhunterとchrootkit。
wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
tar -zxf rkhunter-1.2.7.tar.gz
cd /usr/local/rkhunter
chmod 750 installer.sh
./installer.sh
chmod 750 /usr/local/bin/rkhunter
mkdir -p /usr/local/bin/lib/rkhunter/tmp
cd /usr/local/rkhunter/lib/rkhunter/scripts
chmod 750
check_modules.pl
check_port.pl
check_update.sh
filehashmd5.pl
filehashsha1.pl
rkhunter --checkall
wget http://jp.chkrootkit.org/download/chkrootkit-0.45.tar.gz
tar -zxf chkrootkit-0.45.tar.gz
cd chkrootkit-0.45
make sense
./chkrootkit
chkrootkit実行スクリプト作成
vi chkrootkit
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
/usr/local/chkrootkit/chkrootkit > $TMPLOG
cat $TMPLOG | logger -t chkrootkit
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
chmod 700 chkrootkit
mv chkrootkit /etc/cron.daily/