| エンタープライズ:特集 | 2003/03/11 17:23:00 更新 |
rootkitによるハッキングとその防御
第3回 rootkit検出ツールによる検査 (1/6)
これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。
chkrootkitの導入
「chkrootkit」は名前からも憶測できるように、システムにrootkitが組み込まれていないかを検査してくれるツールだ。比較的有名なツールであるため、すでに導入されている方もいるだろう。
chkrootkitは、rootkitおよびワームの検出の以外にも、ネットワークインターフェースがプロミスキャスモードになっていないか、ログファイルlastlog/wtmpは改ざんされていないか、隠蔽されているプロセスはないか、といった項目をチェックすることができる。
原稿執筆段階での最新バージョンは「chkrootkit 0.39a」だが、このバージョンで検出できるとされるrootkitやワームには表1のものがある。なお、chkrootkitは検査のみを行うツールであり、修復を行ってくれるツールではないことに注意したい。
表1■chkrootkit 0.39aで検出可能なrootkitとワーム| Solaris rootkit | FreeBSD rootkit | lrk3, lrk4, lrk5, lrk6など | t0rn(t0rn v8などを含む) | Ambient's Rootkit for Linux (ARK) | Ramen Worm |
| rh[67]-shaper | RSHA | Romanian rootkit | RK17 | Lion Worm | Adore Worm |
| LPD Worm | kenny-rk | Adore LKM | ShitC Worm | Omega Worm | Wormkit Worm |
| Maniac-RK | dsc-rootkit | Ducoci rootkit | x.c Worm | RST.b trojan | duarawkz |
| knark LKM | Monkit | Hidrootkit | Bobkit | Pizdakit | Showtee |
| Optickit | T.R.K | MithRa's Rootkit | George | SucKIT | Scalper (FreeBSD/ Apache chunked encoding worm) |
| Slapper A, B, C and D (Linux/Apache mod_ssl Worm) | OpenBSD rk v1 | Illogic rootkit | SK rootkit | sebek LKM | Romanian rootkit |
| LOC rootkit |
chkrootkitのインストール
chkrootkitのインストールは非常に簡単である。chkrootkitのtarballをダウンロードし解凍を行った後に、chkrootkitディレクトリにてコンパイルを行うだけで完了する。コンパイルが完了すると、同ディレクトリに、chkprocやchklastlogなど、いくつかの実行ファイルができているだろう。
■インストール|
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar xvzf chkrootkit.tar.gz # cd chkrootkit-0.39a # make sense gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c gcc -DHAVE_LASTLOG_H -o ifpromisc ifpromisc.c 〜省略〜 |
■インストール後のchkrootkitディレクトリ
$ ls ACKNOWLEDGMENTS check_wtmpx chkproc ifpromisc COPYRIGHT check_wtmpx.c chkproc.c ifpromisc.c Makefile chkdirs chkrootkit strings README chkdirs.c chkrootkit.lsm strings.c README.chklastlog chklastlog chkwtmp README.chkwtmp chklastlog.c chkwtmp.c |
chkrootkitの実行
chkrootkitによるシステムの検査は、chkrootkitディレクトリで単純に「./chkrootkit」とすれば検査が開始される。
しかし、すでにシステムにrootkitが組み込まれていて、コマンド自体が改ざんされている可能性がある場合には、chkrootkitの検査を行う際に、chkrootkitが利用するコマンド類も、改ざんされているものが利用されることになる。こういった自体を考慮して、chkrootkitではコマンドオプション「-p」で、CD-ROMやフロッピーディスクなどのメディアなどに用意した、安全なコマンド群を使用した検査を行うことができる。疑わしい場合にはこのオプションを指定して検査しよう。chkrootkitが利用するコマンド群をフロッピーディスクやCD-ROMに用意しておき、検査時にマウントしてパスを指定すればよい。
■chkrootkitが利用するコマンド群| awk、cut、egrep、find、head、id、ls、netstat、ps、strings、sed、uname、echo |
[TTS,ITmedia]
「どこでもオフィス」で業務効率アップ!
業務でオープンソースは不安、は過去のこと
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
1日の処理を1秒にも――MySQLの達人が語る![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
@IT「Windows 7」 特設サイトオープン!
「設備」「ネットワーク」「マネジメント」
IT基盤をアウトソースした中堅中小企業たち
「ノートPCの持ち出し禁止」だけで大丈夫?
「Windows 7搭載PC」で何が変わったのか?
かつての日本の成功体験はもう通じない
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター