エンタープライズ:特集 | 2003/03/11 17:23:00 更新 |
rootkitによるハッキングとその防御
第3回 rootkit検出ツールによる検査 (1/6)
これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。
chkrootkitの導入
「chkrootkit」は名前からも憶測できるように、システムにrootkitが組み込まれていないかを検査してくれるツールだ。比較的有名なツールであるため、すでに導入されている方もいるだろう。
chkrootkitは、rootkitおよびワームの検出の以外にも、ネットワークインターフェースがプロミスキャスモードになっていないか、ログファイルlastlog/wtmpは改ざんされていないか、隠蔽されているプロセスはないか、といった項目をチェックすることができる。
原稿執筆段階での最新バージョンは「chkrootkit 0.39a」だが、このバージョンで検出できるとされるrootkitやワームには表1のものがある。なお、chkrootkitは検査のみを行うツールであり、修復を行ってくれるツールではないことに注意したい。
表1■chkrootkit 0.39aで検出可能なrootkitとワームSolaris rootkit | FreeBSD rootkit | lrk3, lrk4, lrk5, lrk6など | t0rn(t0rn v8などを含む) | Ambient's Rootkit for Linux (ARK) | Ramen Worm |
rh[67]-shaper | RSHA | Romanian rootkit | RK17 | Lion Worm | Adore Worm |
LPD Worm | kenny-rk | Adore LKM | ShitC Worm | Omega Worm | Wormkit Worm |
Maniac-RK | dsc-rootkit | Ducoci rootkit | x.c Worm | RST.b trojan | duarawkz |
knark LKM | Monkit | Hidrootkit | Bobkit | Pizdakit | Showtee |
Optickit | T.R.K | MithRa's Rootkit | George | SucKIT | Scalper (FreeBSD/ Apache chunked encoding worm) |
Slapper A, B, C and D (Linux/Apache mod_ssl Worm) | OpenBSD rk v1 | Illogic rootkit | SK rootkit | sebek LKM | Romanian rootkit |
LOC rootkit |
chkrootkitのインストール
chkrootkitのインストールは非常に簡単である。chkrootkitのtarballをダウンロードし解凍を行った後に、chkrootkitディレクトリにてコンパイルを行うだけで完了する。コンパイルが完了すると、同ディレクトリに、chkprocやchklastlogなど、いくつかの実行ファイルができているだろう。
■インストール
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz # tar xvzf chkrootkit.tar.gz # cd chkrootkit-0.39a # make sense gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c gcc -DHAVE_LASTLOG_H -o ifpromisc ifpromisc.c 〜省略〜 |
■インストール後のchkrootkitディレクトリ
$ ls ACKNOWLEDGMENTS check_wtmpx chkproc ifpromisc COPYRIGHT check_wtmpx.c chkproc.c ifpromisc.c Makefile chkdirs chkrootkit strings README chkdirs.c chkrootkit.lsm strings.c README.chklastlog chklastlog chkwtmp README.chkwtmp chklastlog.c chkwtmp.c |
chkrootkitの実行
chkrootkitによるシステムの検査は、chkrootkitディレクトリで単純に「./chkrootkit」とすれば検査が開始される。
しかし、すでにシステムにrootkitが組み込まれていて、コマンド自体が改ざんされている可能性がある場合には、chkrootkitの検査を行う際に、chkrootkitが利用するコマンド類も、改ざんされているものが利用されることになる。こういった自体を考慮して、chkrootkitではコマンドオプション「-p」で、CD-ROMやフロッピーディスクなどのメディアなどに用意した、安全なコマンド群を使用した検査を行うことができる。疑わしい場合にはこのオプションを指定して検査しよう。chkrootkitが利用するコマンド群をフロッピーディスクやCD-ROMに用意しておき、検査時にマウントしてパスを指定すればよい。
■chkrootkitが利用するコマンド群awk、cut、egrep、find、head、id、ls、netstat、ps、strings、sed、uname、echo |
[TTS,ITmedia]