インストール
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar zxfv chkrootkit.tar.gz # cd chkrootkit-0.48/ # make sense
実行可能なテストの一覧を表示する
# ./chkrootkit -l
実行するときは下記のように。[テストする内容]を省くと全て実行される。結構時間はかかる。
# ./chkrootkit [テストする内容]
全体的にエコー多めで問題のあるところを探しにくい。-qをつけると疑わしい部分だけ表示される。INFECTEDだけを見る場合はこう。
# ./chkrootkit -q | grep INFECTED
決まった時間にchkrootkitを実行するシェル
#!/bin/sh
CHKROOTKIT=”/usr/local/src/chkrootkit-0.48/chkrootkit -q”
TMPFILE=”result.txt”
SUMFILE=”result.sum”
LASTFILE=”last.txt”
LASTSUMFILE=”last.sum”
NOWTIME=`date +”%Y/%m/%d %T”`
MAILTO=””
`$CHKROOTKIT` > $TMPFILE
if [ -f “$LASTSUMFILE” ]; then
md5sum $TMPFILE > $SUMFILE
TMPSUM=`cat $SUMFILE`
LOGSUM=`cat $LASTSUMFILE`
if [ $TMPSUM != $LOGSUM ]; then
#ファイルが変わっている。メール送信
#echo “chkrootkit result is changed.” | mail -s “[ALERT] chkrootkit ” “$MAILTO”
echo “chkrootkit result is changed.”
fi
#次回のチェックのため退避
cat $SUMFILE > $LASTSUMFILE
cat #TMPFILE > $LASTFILE
else
# chkrootkitの結果ファイルがない。メール送信
echo “chkrootkit result is not exsist.” | mail -s “[ALERT] chkrootkit ” “$MAILTO”
fi
