# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar zxfv chkrootkit.tar.gz
# cd chkrootkit-0.48/
# make sense

実行可能なテストの一覧を表示する

# ./chkrootkit -l

実行するときは下記のように。[テストする内容]を省くと全て実行される。結構時間はかかる。

# ./chkrootkit [テストする内容]

全体的にエコー多めで問題のあるところを探しにくい。-qをつけると疑わしい部分だけ表示される。INFECTEDだけを見る場合はこう。

# ./chkrootkit -q | grep INFECTED

決まった時間にchkrootkitを実行するシェル
[sourcecode language='c++']
#!/bin/sh
CHKROOTKIT=”/usr/local/src/chkrootkit-0.48/chkrootkit -q”
TMPFILE=”result.txt”
SUMFILE=”result.sum”
LASTFILE=”last.txt”
LASTSUMFILE=”last.sum”
NOWTIME=`date +”%Y/%m/%d %T”`
MAILTO=”"

`$CHKROOTKIT` > $TMPFILE

if [ -f "$LASTSUMFILE" ]; then

md5sum $TMPFILE > $SUMFILE
TMPSUM=`cat $SUMFILE`
LOGSUM=`cat $LASTSUMFILE`
if [ $TMPSUM != $LOGSUM ]; then
#ファイルが変わっている。メール送信
#echo “chkrootkit result is changed.” | mail -s “[ALERT] chkrootkit ” “$MAILTO”
echo “chkrootkit result is changed.”

fi
#次回のチェックのため退避
cat $SUMFILE > $LASTSUMFILE
cat #TMPFILE > $LASTFILE
else
# chkrootkitの結果ファイルがない。メール送信
echo “chkrootkit result is not exsist.” | mail -s “[ALERT] chkrootkit ” “$MAILTO”
fi
[/sourcecode]