サーバを運用している中で、一番怖いのが知らないうちにのっとられていることです。
日々、ログを確認しながら状態を見ている時間があればいいですが、なかなか出来ないのが現実です。
そこで利用したいのが、chkrootkitです。
これを利用することでサーバ上での改竄を早い段階で検地することが可能となります。
使い方も簡単ですので、サーバの構築を行う段階で導入しておくことをオススメします。
まずはインストールから行っていきます。
[shell]
yum install -y chkrootkit
[/shell]
入れた後は、下記のコマンドを実行することでチェックが可能です。
[shell]
sudo chkrootkit | grep INFECTED
[/shell]
実行後に何も表示されなければ、どこにも改竄が無い状態となります。
たまに改竄と関係なく下記のようなメッセージが出ることがあります。
[shell]
Searching for Suckit rootkit… Warning: /sbin/init INFECTED
[/shell]
そんな時には、慌てずに下記のコマンドを実行しましょう
[shell]
sudo rpm -V `rpm -qf /sbin/init`
[/shell]
-qと-fのオプションを付与した状態で、RPMパッケージのパッケージ情報とファイルを指定し、-Vオプションで対象のRPMパッケージを検査します。
上記のコマンドを実行した上で、何も表示されなければアップデートによって書き換えが起きている場合がほとんどです。
もし、出続けることに不満がある場合には再起動することでチェックを実行した際に表示されることはなくなります。
毎回、目視で確認するのは面倒なのでcronに仕込んで定期的に実行し、何かあった場合にメールなどで確認が出来るようにしておくことで、最悪の事態を防ぐことに繋がるかもしれません。
コメント