rkhunterでrootkitを検知しよう!
rootkitが仕込まれていないかをチェックするツールにrkhunterがあります。
ここでは、rkhunterの導入手順を掲載しています。
rkhunterとは…
rootkitとは、不正アクセスに使われるコマンドやツールをセットにしたものです。rootkitは不正アクセスに必要なコマンド、ソフト、プロセスを隠蔽する働きを持ち、システムや管理者から見えない状態になるため、検出するのは非常に困難です。
rkhunterはrootkitの仕込まれた疑いのあるコマンドをサーバ内から探しだし、通知をする機能を持っています。
ただし、このrkhunterでは検出しか出来ません。仮にrootkitが検知された場合、バックアップから復元するなど、修復は自分で行う必要があります。また、誤検出もあったりするので、過信せず、目安程度に留めておくのが良さそうです。
[root@al9 ~]# dnf --enablerepo=epel -y install rkhunter
Installed:
lsof-4.94.0-3.el9.x86_64 rkhunter-1.4.6-17.el9.noarch Complete!
データベースの実行
データベースを更新します
[root@al9 ~]# rkhunter --update
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter data files... Checking file mirrors.dat [ Updated ] Checking file programs_bad.dat [ Updated ] Checking file backdoorports.dat [ update ] Checking file suspscan.dat [ Updated ] Checking file i18n/cn [ No update ] Checking file i18n/de [ Updated ] Checking file i18n/en [ No update ] Checking file i18n/tr [ Updated ] Checking file i18n/tr.utf8 [ Updated ] Checking file i18n/zh [ Updated ] Checking file i18n/zh.utf8 [ Updated ] Checking file i18n/ja [ Updated ]
システムデータを更新します
[root@al9 ~]# rkhunter --propupd
[ Rootkit Hunter version 1.4.6 ] File created: searched for 176 files, found 127
rkhunterの実行
実際に動かしてみたいと思います。
[root@al9 ~]# rkhunter --check --skip-keypress --cronjob --report-warnings-only
しばらく待って何も表示されなければ、検出されなかったということです。
設定に関する警告が出ることもありますが、セキュリティ強化の参考にしてください。
rkhunterの自動実行
rkhunterインストールと一緒に自動実行のスクリプトがインストールされています。
毎日スキャンを実行し、rootに結果メールが送られます。
コマンド群のバックアップ
rootkitで使われるコマンドをあらかじめバックアップしておき、仮に検出された際に修復できるようにしておきます。
[root@al9 ~]# dnf -y install net-tools zip
Installed:
net-tools-2.0-0.62.20160912git.el9.x86_64 unzip-6.0-56.el9.x86_64 zip-3.0-35.el9.x86_64 Complete!
[root@al9 ~]# mkdir rkhuntercmd
[root@al9 ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` rkhuntercmd/
[root@al9 ~]# zip -r rkhuntercmd.zip rkhuntercmd/
adding: rkhuntercmd/ (stored 0%) adding: rkhuntercmd/awk (deflated 50%) adding: rkhuntercmd/cut (deflated 60%) adding: rkhuntercmd/echo (deflated 66%) adding: rkhuntercmd/egrep (stored 0%) adding: rkhuntercmd/find (deflated 51%) adding: rkhuntercmd/head (deflated 60%) adding: rkhuntercmd/id (deflated 59%) adding: rkhuntercmd/ls (deflated 56%) adding: rkhuntercmd/ps (deflated 65%) adding: rkhuntercmd/strings (deflated 61%) adding: rkhuntercmd/sed (deflated 51%) adding: rkhuntercmd/uname (deflated 61%) adding: rkhuntercmd/netstat (deflated 60%)
[root@al9 ~]# rm -rf rkhuntercmd
あとはrkhuntercmd.zipをWinSCPで他のPCに移動したり、USBメモリに移すなりして、保管します。
とはいえ、今回コピーしたコマンド以外にも影響が出ている可能性があるため、rootkitが仕掛けられていると感じたならば、サーバ再構築の方が安全で確実かも知れません…。
参考にしたサイト様
今回新しく登場したコマンド
- grep
- zip
- which
[広告]
トップページ
AlmaLinux 9
○インストール準備
○仮想化準備(VMware)
○仮想化準備(Hyper-V)
○仮想化準備(Proxmox)
○基本操作
○導入
○セキュリティ対策
○Dynamic DNS
○NTPサーバ
○データベース
○WEBサーバ
○FTPサーバ
○メールサーバ
○DNSサーバ
○ブログシステム
○その他