仙人の心得 » security http://blog.mktime.com Just another WordPress weblog Tue, 31 Aug 2010 12:04:45 +0000 http://wordpress.org/?v=2.9.1 ja hourly 1 linux:chkrootkitのインストール http://blog.mktime.com/archive/15.html http://blog.mktime.com/archive/15.html#comments Mon, 14 Jul 2008 17:12:13 +0000 nak http://blog.mktime.com/?p=13 インストール
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar zxfv chkrootkit.tar.gz
# cd chkrootkit-0.48/
# make sense

実行可能なテストの一覧を表示する
# ./chkrootkit -l

実行するときは下記のように。[テストする内容]を省くと全て実行される。結構時間はかかる。
# ./chkrootkit [テストする内容]

全体的にエコー多めで問題のあるところを探しにくい。-qをつけると疑わしい部分だけ表示される。INFECTEDだけを見る場合はこう。
# ./chkrootkit -q | grep INFECTED

決まった時間にchkrootkitを実行するシェル

#!/bin/sh
CHKROOTKIT=”/usr/local/src/chkrootkit-0.48/chkrootkit -q”
TMPFILE=”result.txt”
SUMFILE=”result.sum”
LASTFILE=”last.txt”
LASTSUMFILE=”last.sum”
NOWTIME=`date +”%Y/%m/%d %T”`
MAILTO=”"

`$CHKROOTKIT` > $TMPFILE

if [ -f "$LASTSUMFILE" ]; then

md5sum $TMPFILE > $SUMFILE
TMPSUM=`cat $SUMFILE`
LOGSUM=`cat $LASTSUMFILE`
if [ $TMPSUM != $LOGSUM ]; then
#ファイルが変わっている。メール送信
#echo “chkrootkit result is changed.” | mail -s “[ALERT] chkrootkit ” “$MAILTO”
echo “chkrootkit result is changed.”

fi
#次回のチェックのため退避
cat $SUMFILE > $LASTSUMFILE
cat #TMPFILE > $LASTFILE
else
# chkrootkitの結果ファイルがない。メール送信
echo “chkrootkit result is not exsist.” | mail -s “[ALERT] chkrootkit ” “$MAILTO”
fi

]]> http://blog.mktime.com/archive/15.html/feed 0