エンタープライズ:特集 2003/01/15 16:59:00 更新

rootkitによるハッキングとその防御
第1回 rootkitの概要と検知 (4/5)

実際のプロセスを見る

 では、実際に正常なpsコマンドと、改ざんされたpsコマンドで違いを見てみよう。正常なpsコマンドではバックアップとIRCリレー接続用サーバpsybncのプロセスが表示されるが、改ざんされたpsコマンドでは隠蔽されているのがわかるだろう。

■正常なpsコマンドでのプロセス表示 
# /dev/tux/backup/ps ax 
  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:04 init [3] 
    2 ?        SW     0:00 [keventd]
    3 ?        SW     0:00 [kapm-idled]
    4 ?        SW     0:00 [kswapd]
    5 ?        SW     0:00 [kreclaimd]
〜省略〜
  953 ?        S      0:00 /usr/sbin/sshd
 1536 ?        SN     0:00 /usr/bin/xsf -q ←SSHDのバックドア
 1545 ?        SN     0:00 ./psybnc ←IRCリレー接続用サーバ
 1573 ?        SN     0:00 /sbin/syslogd -m 0
 1585 ?        S      0:00 CROND
 1586 ?        S      0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly
 1588 ?        S      0:00 awk -v progname=/etc/cron.hourly/sysstat progname {??
 1589 ?        S      0:00 /bin/sh /usr/lib/sa/sa1 600 6
 1591 ?        S      0:00 /usr/lib/sa/sadc 600 6 /var/log/sa/sa31
 1680 pts/0    R      0:00 /dev/tux/backup/ps ax

■改ざんされたpsコマンドでのプロセス表示 
# ps ax
  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:04 init [3] 
    2 ?        SW     0:00 [keventd]
    4 ?        SW     0:00 [kswapd]
    5 ?        SW     0:00 [kreclaimd]
〜省略〜
  953 ?        S      0:00 /usr/sbin/sshd
 1573 ?        SN     0:00 /sbin/syslogd -m 0
 1585 ?        S      0:00 CROND
 1586 ?        S      0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly
 1588 ?        S      0:00 awk -v progname=/etc/cron.hourly/sysstat progname {??
 1589 ?        S      0:00 /bin/sh /usr/lib/sa/sa1 600 6
 1591 ?        S      0:00 /usr/lib/sa/sadc 600 6 /var/log/sa/sa31
 1679 pts/0    R      0:00 ps ax

pstreeコマンドの改ざん

 同様に、プロセスの一覧をツリー上に表示する「pstree」コマンドも改ざんされている。これも正常なpstreeコマンドと、改ざんされたものを見てみよう。

■正常なpstreeコマンドでの表示 
# /dev/tux/backup/pstree
init-+-apmd
     |-atd
     |-automount
     |-bdflush
     |-crond---crond---run-parts---awk
     |-kapm-idled
     |-keventd
     |-khubd
     |-klogd
     |-kreclaimd
     |-kswapd
     |-kupdated
     |-mdrecoveryd
     |-6*[mingetty]
     |-psybnc  ←IRCリレー接続用サーバ
     |-sa1---sadc
     |-sshd-+-sshd---bash---su---bash---pstree
     |      `-sshd---bash---su---bash
     |-syslogd
     |-xchk
     |-xinetd
     `-xsf  ←sshdのバックドア

■改ざんされたpstreeコマンドでの表示 
# pstree
init-+-apmd
     |-atd
     |-automount
     |-bdflush
     |-crond---crond---run-parts---awk
     |-keventd
     |-khubd
     |-klogd
     |-kreclaimd
     |-kswapd
     |-kupdated
     |-mdrecoveryd
     |-6*[mingetty]
     |-sa1---sadc
     |-sshd-+-sshd---bash---su---bash---pstree
     |      `-sshd---bash---su---bash
     |-syslogd
     |-xchk
     `-xinetd

前のページ | 1 2 3 4 5 | 次のページ

[TTS,ITmedia]