エンタープライズ:特集 | 2003/01/15 16:59:00 更新 |
rootkitによるハッキングとその防御
第1回 rootkitの概要と検知 (4/5)
実際のプロセスを見る
では、実際に正常なpsコマンドと、改ざんされたpsコマンドで違いを見てみよう。正常なpsコマンドではバックアップとIRCリレー接続用サーバpsybncのプロセスが表示されるが、改ざんされたpsコマンドでは隠蔽されているのがわかるだろう。
■正常なpsコマンドでのプロセス表示# /dev/tux/backup/ps ax PID TTY STAT TIME COMMAND 1 ? S 0:04 init [3] 2 ? SW 0:00 [keventd] 3 ? SW 0:00 [kapm-idled] 4 ? SW 0:00 [kswapd] 5 ? SW 0:00 [kreclaimd] 〜省略〜 953 ? S 0:00 /usr/sbin/sshd 1536 ? SN 0:00 /usr/bin/xsf -q ←SSHDのバックドア 1545 ? SN 0:00 ./psybnc ←IRCリレー接続用サーバ 1573 ? SN 0:00 /sbin/syslogd -m 0 1585 ? S 0:00 CROND 1586 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 1588 ? S 0:00 awk -v progname=/etc/cron.hourly/sysstat progname {?? 1589 ? S 0:00 /bin/sh /usr/lib/sa/sa1 600 6 1591 ? S 0:00 /usr/lib/sa/sadc 600 6 /var/log/sa/sa31 1680 pts/0 R 0:00 /dev/tux/backup/ps ax |
■改ざんされたpsコマンドでのプロセス表示
# ps ax PID TTY STAT TIME COMMAND 1 ? S 0:04 init [3] 2 ? SW 0:00 [keventd] 4 ? SW 0:00 [kswapd] 5 ? SW 0:00 [kreclaimd] 〜省略〜 953 ? S 0:00 /usr/sbin/sshd 1573 ? SN 0:00 /sbin/syslogd -m 0 1585 ? S 0:00 CROND 1586 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 1588 ? S 0:00 awk -v progname=/etc/cron.hourly/sysstat progname {?? 1589 ? S 0:00 /bin/sh /usr/lib/sa/sa1 600 6 1591 ? S 0:00 /usr/lib/sa/sadc 600 6 /var/log/sa/sa31 1679 pts/0 R 0:00 ps ax |
pstreeコマンドの改ざん
同様に、プロセスの一覧をツリー上に表示する「pstree」コマンドも改ざんされている。これも正常なpstreeコマンドと、改ざんされたものを見てみよう。
■正常なpstreeコマンドでの表示# /dev/tux/backup/pstree init-+-apmd |-atd |-automount |-bdflush |-crond---crond---run-parts---awk |-kapm-idled |-keventd |-khubd |-klogd |-kreclaimd |-kswapd |-kupdated |-mdrecoveryd |-6*[mingetty] |-psybnc ←IRCリレー接続用サーバ |-sa1---sadc |-sshd-+-sshd---bash---su---bash---pstree | `-sshd---bash---su---bash |-syslogd |-xchk |-xinetd `-xsf ←sshdのバックドア |
■改ざんされたpstreeコマンドでの表示
# pstree init-+-apmd |-atd |-automount |-bdflush |-crond---crond---run-parts---awk |-keventd |-khubd |-klogd |-kreclaimd |-kswapd |-kupdated |-mdrecoveryd |-6*[mingetty] |-sa1---sadc |-sshd-+-sshd---bash---su---bash---pstree | `-sshd---bash---su---bash |-syslogd |-xchk `-xinetd |
[TTS,ITmedia]