- chkrootkit -- locally checks for signs of a rootkit
http://www.chkrootkit.org/ - エンタープライズ:第3回 rootkit検出ツールによる検査 (1/6)
http://www.itmedia.co.jp/enterprise/0303/11/epn11.html - chkrootkit のインストールと利用方法
http://fumika.jp/nikki/2004/04/chkrootkit - rootkit検知ツール導入(chkrootkit) - Fedoraで自宅サーバー構築
http://fedorasrv.com/chkrootkit.shtml - chkrootkit CD の作成と使い方
http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html - chkrootkit FAQ 日本語訳 - Pocketstudio.jp Linux Wiki
http://pocketstudio.jp/linux/?chkrootkit%20FAQ%20%C6%FC%CB%DC%B8%EC%CC%F5 - jp.chkrootkit.org
http://jp.chkrootkit.org/
典型的な(既知の) rootkit を検出できるchkrootkit をインストールしてみます。
現時点での最新版は"chkrootkit-0.45.tar.gz" です。当初、例によってRHL9 用の最終バージョンのSRPM("chkrootkit-0.44-0.fdr.2.rh90.src.rpm") を拾ってきてSPEC ファイルを抜き出し、適当にRPM ファイルを作ってみたのですが、その後fedora extras にRPM を見つけたので、なんとなくこっちに切り替え。SRPM 拾ってさくっとビルド。
- Index of /Linux/packages/fedora/extras/4/SRPMS
http://ftp.kddilabs.jp/Linux/packages/fedora/extras/4/SRPMS/
# wget http://ftp.kddilabs.jp/Linux/packages/fedora/extras/4/SRPMS/chkrootkit-0.45-3.src.rpm
# rpmbuild --rebuild --target i686 chkrootkit-0.45-3.src.rpm
# rpm -Uvh /usr/src/redhat/RPMS/i686/chkrootkit-debuginfo-0.45-3.i686.rpm
とりあえずの使い方は、
# /usr/sbin/chkrootkit
でズラズラっとでてきます。
本来ならcron で定期的にチェックするようにしたり、安全が確認できている(インストール直後とかの) 状態の各種コマンドをFD とかCD-RW とかにコピーしておいて、チェックするときはそれを使う、とかしないといけないようだけど、とりあえず今日はここまで。