[root@sl ~]# yum --enablerepo=epel -y install chkrootkit

読み込んだプラグイン:fastestmirror, security
インストール処理の設定をしています
Loading mirror speeds from cached hostfile
 * epel: ftp.riken.jp
 * sl: ftp.riken.jp
 * sl-security: ftp.riken.jp
 * sl6x: ftp.riken.jp
 * sl6x-security: ftp.riken.jp
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> Package chkrootkit.x86_64 0:0.49-9.el6 will be インストール
--> 依存性の処理をしています: /usr/bin/consolehelper のパッケージ: chkrootkit-0.49-9.el6.x86_64
--> トランザクションの確認を実行しています。
---> Package usermode.x86_64 0:1.102-3.el6 will be インストール
--> 依存性解決を終了しました。

依存性を解決しました

================================================================================
 パッケージ          アーキテクチャ  バージョン             リポジトリー   容量
================================================================================
インストールしています:
 chkrootkit          x86_64          0.49-9.el6             epel          310 k
依存性関連でのインストールをします。:
 usermode            x86_64          1.102-3.el6            sl            186 k

トランザクションの要約
================================================================================
インストール         2 パッケージ

総ダウンロード容量: 496 k
インストール済み容量: 1.6 M
パッケージをダウンロードしています:
(1/2): chkrootkit-0.49-9.el6.x86_64.rpm                  | 310 kB     00:00
(2/2): usermode-1.102-3.el6.x86_64.rpm                   | 186 kB     00:00
--------------------------------------------------------------------------------
合計                                            1.6 MB/s | 496 kB     00:00
rpm_check_debug を実行しています
トランザクションのテストを実行しています
トランザクションのテストを成功しました
トランザクションを実行しています
  インストールしています  : usermode-1.102-3.el6.x86_64                     1/2
  インストールしています  : chkrootkit-0.49-9.el6.x86_64                    2/2
  Verifying               : chkrootkit-0.49-9.el6.x86_64                    1/2
  Verifying               : usermode-1.102-3.el6.x86_64                     2/2

インストール:
  chkrootkit.x86_64 0:0.49-9.el6

依存性関連をインストールしました:
  usermode.x86_64 0:1.102-3.el6

完了しました!

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $TMPLOG)" ] && \
   [ -z $(rpm -V `rpm -qf /sbin/init`) ]; then
        sed -i '/Suckit/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

  adding: chkrootkitcmd/ (stored 0%)
  adding: chkrootkitcmd/uname (deflated 54%)
  adding: chkrootkitcmd/cut (deflated 51%)
  adding: chkrootkitcmd/sed (deflated 54%)
  adding: chkrootkitcmd/head (deflated 52%)
  adding: chkrootkitcmd/ps (deflated 59%)
  adding: chkrootkitcmd/echo (deflated 54%)
  adding: chkrootkitcmd/ls (deflated 55%)
  adding: chkrootkitcmd/egrep (deflated 49%)
  adding: chkrootkitcmd/strings (deflated 57%)
  adding: chkrootkitcmd/id (deflated 54%)
  adding: chkrootkitcmd/awk (deflated 51%)
  adding: chkrootkitcmd/find (deflated 52%)
  adding: chkrootkitcmd/netstat (deflated 57%)