| エンタープライズ:特集 | 2003/03/11 17:23:00 更新 |
rootkitによるハッキングとその防御
第3回 rootkit検出ツールによる検査 (3/6)
chkrootkitはこのように既知のrootkitを元に作成されているため、それに当てはまらない新しいタイプのrootkitなどは検出できないことになる。たとえば、tuxkit(OpticKit)に関する項目がスクリプトに記述される以前のchkrootkit(Version 0.35以下)で同様に検査を行うと、検出されるのはChecking `aliens'の項目と隠蔽されたプロセスのみで、コマンド類の改ざんなどは検出されない。./chkrootkitですべてのrootkitが検出できるわけではないことは覚えておく必要があるだろう。
chkrootkit Version 0.35にて検査したケース
Optickitが検査項目に加わる前のchkrootkit(Version 0.35)でtuxkitをインストールしたシステムを検査した結果。実行ファイル関連の改ざんがまったくく検出されていないことがわかるだろう。
# ./chkrootkit -p /mnt/floppy ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not found Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `write'... not infected Checking `aliens'... /dev/tux/.addr /dev/tux/.proc /dev/tux/tools/mirkforce/realnames Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /usr/lib /perl5/site_perl/5.8.0/i386-linux-thread-multi/auto/NKF/.packlist Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... You have 1 process hidden for ps command Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... eth0 is not promisc Checking `wted'... nothing deleted Checking `z2'... nothing deleted |
chkrootkitのコマンドオプション
先ほど紹介した「-p」のほかにもさまざまなオプションが用意されている。ここでコマンドの一覧と使用例を紹介しておこう。
表2■chkrootkitのコマンドオプション| -h | ヘルプの表示 |
| -V | バージョンの表示 |
| -l | テストモード(検査する項目の表示) |
| -d | デバッグモード |
| -q | 必要な情報のみの表示 |
| -x | エキスパートモード、詳細な情報を表示 |
| -r dir | チェックするルートディレクトリの指定。指定をしない場合は/になる |
| -p dir1:dir2:dirN | 別途マウントしたメディアにあるコマンド群を利用する際に指定する |
■必要な情報のみを表示させる
|
# ./chkrootkit -q Checking `du'... INFECTED Checking `find'... INFECTED Checking `ifconfig'... INFECTED Checking `killall'... INFECTED Checking `ls'... INFECTED Checking `netstat'... INFECTED Checking `ps'... INFECTED Checking `pstree'... INFECTED Checking `syslogd'... INFECTED Checking `tcpd'... INFECTED Checking `top'... INFECTED /dev/tux/.addr /dev/tux/.proc /dev/tux/tools/mirkforce/realnames /usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /usr/lib/ perl5/site_perl/5.8.0/i386-linux-thread-multi/auto/NKF/.packlist You have 35 process hidden for ps command Warning: Possible LKM Trojan installed eth0 is not promisc |
■指定したコマンドファイルとネットワークインターフェースがプロミスキャスモードになっていないかをチェックする。
|
# ./chkrootkit ps ls sniffer ROOTDIR is `/' Checking `ps'... INFECTED Checking `ls'... INFECTED Checking `sniffer'... eth0 is not promisc |
■エキスパートモードにて詳細な情報を表示する。
|
# ./chkrootkit -x | more ROOTDIR is `/' not found ### ### Output of: /usr/bin/strings -a /bin/basename ### /lib/ld-linux.so.2 libc.so.6 stdout putc_unlocked getopt_long __fpending __ctype_b puts mbrtowc 〜省略〜 |
■エキスパートモードにて、egrepを使用して特定の文字を検索する。
|
# ./chkrootkit -x | egrep 'xsf' ### Output of: /usr/bin/find /usr/bin -name xchk -o -name xsf /usr/bin/xsf EXE 279: /usr/bin/xsf |
■chkrootkitの利用するコマンドファイルのディレクトリを指定する。
| # ./chkrootkit -p /mnt/floppy |
■検査項目を確認する。
|
# # ./chkrootkit -l ./chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer wted scalper slapper z2 amd basename biff chfn chsh cron date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute w write |
[TTS,ITmedia]
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
1日の処理を1秒にも――MySQLの達人が語る
「設備」「ネットワーク」「マネジメント」
@IT「Windows 7」 特設サイトオープン!
「ノートPCの持ち出し禁止」だけで大丈夫?
「Windows 7搭載PC」で何が変わったのか?![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
「どこでもオフィス」で業務効率アップ!
IT基盤をアウトソースした中堅中小企業たち
トップエンジニア村上氏と上野氏が競演!
かつての日本の成功体験はもう通じない
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター