エンタープライズ:特集 2003/03/11 17:23:00 更新

rootkitによるハッキングとその防御
第3回 rootkit検出ツールによる検査 (1/6)

これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。

chkrootkitの導入

 「chkrootkit」は名前からも憶測できるように、システムにrootkitが組み込まれていないかを検査してくれるツールだ。比較的有名なツールであるため、すでに導入されている方もいるだろう。

 chkrootkitは、rootkitおよびワームの検出の以外にも、ネットワークインターフェースがプロミスキャスモードになっていないか、ログファイルlastlog/wtmpは改ざんされていないか、隠蔽されているプロセスはないか、といった項目をチェックすることができる。

 原稿執筆段階での最新バージョンは「chkrootkit 0.39a」だが、このバージョンで検出できるとされるrootkitやワームには表1のものがある。なお、chkrootkitは検査のみを行うツールであり、修復を行ってくれるツールではないことに注意したい。

表1■chkrootkit 0.39aで検出可能なrootkitとワーム
Solaris rootkit FreeBSD rootkit lrk3, lrk4, lrk5, lrk6など t0rn(t0rn v8などを含む) Ambient's Rootkit for Linux (ARK) Ramen Worm
rh[67]-shaper RSHA Romanian rootkit RK17 Lion Worm Adore Worm
LPD Worm kenny-rk Adore LKM ShitC Worm Omega Worm Wormkit Worm
Maniac-RK dsc-rootkit Ducoci rootkit x.c Worm RST.b trojan duarawkz
knark LKM Monkit Hidrootkit Bobkit Pizdakit Showtee
Optickit T.R.K MithRa's Rootkit George SucKIT Scalper (FreeBSD/
Apache chunked encoding worm)
Slapper A, B, C and D (Linux/Apache mod_ssl Worm) OpenBSD rk v1 Illogic rootkit SK rootkit sebek LKM Romanian rootkit
LOC rootkit          

chkrootkitのインストール

 chkrootkitのインストールは非常に簡単である。chkrootkitのtarballをダウンロードし解凍を行った後に、chkrootkitディレクトリにてコンパイルを行うだけで完了する。コンパイルが完了すると、同ディレクトリに、chkprocやchklastlogなど、いくつかの実行ファイルができているだろう。

■インストール
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar xvzf chkrootkit.tar.gz
# cd chkrootkit-0.39a
# make sense
gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
gcc -DHAVE_LASTLOG_H -o ifpromisc ifpromisc.c
〜省略〜

■インストール後のchkrootkitディレクトリ
$ ls
ACKNOWLEDGMENTS    check_wtmpx        chkproc            ifpromisc
COPYRIGHT          check_wtmpx.c      chkproc.c          ifpromisc.c
Makefile           chkdirs            chkrootkit         strings
README             chkdirs.c          chkrootkit.lsm     strings.c
README.chklastlog  chklastlog         chkwtmp
README.chkwtmp     chklastlog.c       chkwtmp.c

chkrootkitの実行

 chkrootkitによるシステムの検査は、chkrootkitディレクトリで単純に「./chkrootkit」とすれば検査が開始される。

 しかし、すでにシステムにrootkitが組み込まれていて、コマンド自体が改ざんされている可能性がある場合には、chkrootkitの検査を行う際に、chkrootkitが利用するコマンド類も、改ざんされているものが利用されることになる。こういった自体を考慮して、chkrootkitではコマンドオプション「-p」で、CD-ROMやフロッピーディスクなどのメディアなどに用意した、安全なコマンド群を使用した検査を行うことができる。疑わしい場合にはこのオプションを指定して検査しよう。chkrootkitが利用するコマンド群をフロッピーディスクやCD-ROMに用意しておき、検査時にマウントしてパスを指定すればよい。

■chkrootkitが利用するコマンド群
awk、cut、egrep、find、head、id、ls、netstat、ps、strings、sed、uname、echo

      | 1 2 3 4 5 6 | 次のページ

[TTS,ITmedia]



Special

- PR -

Special

- PR -