rkhunterでrootkitを検知しよう！

rootkitが仕込まれていないかをチェックするツールにrkhunterがあります。

ここでは、rkhunterの導入手順を掲載しています。

[広告]

rkhunterとは…

rootkitとは、不正アクセスに使われるコマンドやツールをセットにしたものです。rootkitは不正アクセスに必要なコマンド、ソフト、プロセスを隠蔽する働きを持ち、システムや管理者から見えない状態になるため、検出するのは非常に困難です。

rkhunterはrootkitの仕込まれた疑いのあるコマンドをサーバ内から探しだし、通知をする機能を持っています。

ただし、このrkhunterでは検出しか出来ません。仮にrootkitが検知された場合、バックアップから復元するなど、修復は自分で行う必要があります。また、誤検出もあったりするので、過信せず、目安程度に留めておくのが良さそうです。

rkhunterのインストール

rkhunterは公式のリポジトリにないので、EPELリポジトリを使ってインストールします。

EPELリポジトリの設定をしていない方は初期設定ページをご覧ください。

[root@al9 ~]# dnf --enablerepo=epel -y install rkhunter

Installed:
  lsof-4.94.0-3.el9.x86_64             rkhunter-1.4.6-17.el9.noarch

Complete!

データベースの実行

データベースを更新します

[root@al9 ~]# rkhunter --update

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ Updated ]
  Checking file backdoorports.dat                            [ update ]
  Checking file suspscan.dat                                 [ Updated ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ Updated ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Updated ]
  Checking file i18n/tr.utf8                                 [ Updated ]
  Checking file i18n/zh                                      [ Updated ]
  Checking file i18n/zh.utf8                                 [ Updated ]
  Checking file i18n/ja                                      [ Updated ]

システムデータを更新します

[root@al9 ~]# rkhunter --propupd

[ Rootkit Hunter version 1.4.6 ]
File created: searched for 176 files, found 127

rkhunterの実行

実際に動かしてみたいと思います。

[root@al9 ~]# rkhunter --check --skip-keypress --cronjob --report-warnings-only

しばらく待って何も表示されなければ、検出されなかったということです。

設定に関する警告が出ることもありますが、セキュリティ強化の参考にしてください。

rkhunterの自動実行

rkhunterインストールと一緒に自動実行のスクリプトがインストールされています。

毎日スキャンを実行し、rootに結果メールが送られます。

コマンド群のバックアップ

rootkitで使われるコマンドをあらかじめバックアップしておき、仮に検出された際に修復できるようにしておきます。

[root@al9 ~]# dnf -y install net-tools zip

Installed:
  net-tools-2.0-0.62.20160912git.el9.x86_64
  unzip-6.0-56.el9.x86_64                 zip-3.0-35.el9.x86_64

Complete!

[root@al9 ~]# mkdir rkhuntercmd

[root@al9 ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` rkhuntercmd/

[root@al9 ~]# zip -r rkhuntercmd.zip rkhuntercmd/

  adding: rkhuntercmd/ (stored 0%)
  adding: rkhuntercmd/awk (deflated 50%)
  adding: rkhuntercmd/cut (deflated 60%)
  adding: rkhuntercmd/echo (deflated 66%)
  adding: rkhuntercmd/egrep (stored 0%)
  adding: rkhuntercmd/find (deflated 51%)
  adding: rkhuntercmd/head (deflated 60%)
  adding: rkhuntercmd/id (deflated 59%)
  adding: rkhuntercmd/ls (deflated 56%)
  adding: rkhuntercmd/ps (deflated 65%)
  adding: rkhuntercmd/strings (deflated 61%)
  adding: rkhuntercmd/sed (deflated 51%)
  adding: rkhuntercmd/uname (deflated 61%)
  adding: rkhuntercmd/netstat (deflated 60%)

[root@al9 ~]# rm -rf rkhuntercmd

あとはrkhuntercmd.zipをWinSCPで他のPCに移動したり、USBメモリに移すなりして、保管します。

とはいえ、今回コピーしたコマンド以外にも影響が出ている可能性があるため、rootkitが仕掛けられていると感じたならば、サーバ再構築の方が安全で確実かも知れません…。