rootkit検知ツール導入(chkrootkit)をインストする前に
EPELリポジトリ導入(EPEL)
yum -y install yum-plugin-priorities
/etc/yum.repos.d/CentOS-Base.repo を編集 全セクションに
priority=1 を追加するだけ パッケージをインストール
rpm -ivh http://ftp.riken.jp/Linux/fedora/epel/6/i386/epel-release-6-5.noarch.rpm するとそのパッケージはなかったので
rpm -ivh http://ftp.riken.jp/Linux/fedora/epel/6/i386/epel-release-6-7.noarch.rpm
そしてアップデート
yum -y update epel-release 失敗したら、何度もやり直す。 chkrootkitインストール
yum -y install chkrootkit
chkrootkitを実行してみる
chkrootkit | grep INFECTED chkrootkit実行スクリプト作成 ---ココからーーー #!/bin/bash PATH=/usr/bin:/bin TMPLOG=`mktemp` # chkrootkit実行 chkrootkit > $TMPLOG # ログ出力 cat $TMPLOG | logger -t chkrootkit # SMTPSのbindshell誤検知対応 if [ ! -z "$(grep 465 $TMPLOG)" ] && \ [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then sed -i '/465/d' $TMPLOG fi # rootkit検知時のみroot宛メール送信 [ ! -z "$(grep INFECTED $TMPLOG)" ] && \ grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root rm -f $TMPLOG ーーーココまでーーー 実行モードを設定して
chmod 700 chkrootkit 移動
mv chkrootkit /etc/cron.daily/ バックアップを作成する
mkdir chkrootkitcmd
cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` chkrootkitcmd/
chkrootkit -p /root/chkrootkitcmd|grep INFECTED
zip -r chkrootkitcmd.zip chkrootkitcmd/
rm -rf chkrootkitcmd
uuencodeコマンドインストール
yum -y install sharutils ルート宛に送ってみる uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root rm -f chkrootkitcmd.zip