- chkrootkitをインストール && 実行。
# aptitude install chkrootkit # aptitude clean
chkrootkit実行
# chkrootkit | grep INFECTED
実行結果として、”INFECTED”という行が表示されなければ問題なし
- cron登録用にchkrootkitシェルスクリプトを作成。
# vi chkrootkit
#!/bin/bash LANG=C PATH=/usr/bin:/bin:/usr/sbin TMPLOG=`mktemp` # chkrootkit実行 chkrootkit > $TMPLOG # ログ出力 cat $TMPLOG | logger -t chkrootkit # SMTPSのbindshell誤検知対応 if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # rootkit検知時のみroot宛メール送信 [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG# chmod 700 chkrootkit # mv chkrootkit /etc/cron.daily/
- chkrootkitで使用する安全なコマンドの確保
# mkdir chkrootkitcmd # cp `which -a awk cut echo egrep find head id ls netstat ps strings sed uname` chkrootkitcmd/
退避したchkrootkit使用コマンドを使用してchkrootkit実行
# chkrootkit -p /root/chkrootkitcmd|grep INFECTED # aptitude install zip sharutils # zip -r chkrootkitcmd.zip chkrootkitcmd/ # rm -rf chkrootkitcmd # uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root # rm -f chkrootkitcmd.zip
- Newer: [Debian]Debian lennyで1からサーバーを作ってみる – tripwireをインストール
- Older: [Debian]Debian lennyで1からサーバーを作ってみる – iptablesを設定
Trackbacks:1
- Trackback URL for this entry
- http://ore.saizensen.net/archives/277/trackback
- Listed below are links to weblogs that reference
- [Debian]Debian lennyで1からサーバーを作ってみる – chkrootkitをインストール from おれ最前線ねっと
- pingback from サーバーのセキュリティを強化する→その2:各種パッケージの導入 « SkyGarden出張所 10-05-14 (金) 18:53
-
[...] chkrootkitをインストール [...]