CentOSで使える rootkit検知ツール Rootkit Hunter

ALL
スポンサーリンク

CentOSで使える rootkit検知ツールに、Rootkit Hunter があります。
2012年5月以降更新の無かった Rootkit Hunter ですが、先月バージョン1.4.2 がリリースされました。
以降で CentOS6 での Rootkit Hunter について説明します。

なお、CentOSで使える他のrootkit検知ツールに、以下で紹介した chkrootkit もあります。

chkrootkit のSuckit誤検知の修正

ファイルの入手

Rootkit Hunter は以下で入手します。

wget http://rkhunter.sourceforge.net/rkhunter-CVS.tar.gz
tar zxvf rkhunter-CVS.tar.gz

インストールせずに実行してみる

インストール前に、若干設定が必要になるので、まずはインストールせずに実行してみて、適宜設定を行います。

まず、rootユーザで以下を実行します。

cd rkhunter/
./installer.sh --layout custom . --install

これで、rootkit のチェックが出来ます。
チェックをする場合は、下記を実行します。

cd files/
/etc/cron.daily/prelink
./rkhunter --propupd --check --sk --pkgmgr RPM

実行すると、以下のような表示になって、チェックが行われます。

[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 171 files, found 139
Checking system commands...
  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]
  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]
  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ Warning ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
    /bin/cut                                                 [ OK ]
       :
       :

Warning が出る場合は、以降の記載に従ってください。

Performing file properties checks で Warning が出る場合

Performing file properties checks の箇所で、以下のように Warning が出ることがあります。
下記では、/bin/bash について Warning が出ました。

    /bin/bash                                                [ Warning ]

この場合は、ログ rkhunter.log を確認します。
なお、rkhunter.log はカレントディレクトリ下にあります。

以下のような内容が出力されていることを確認します。

[20:55:38]          Try running the command 'prelink /bin/bash' to resolve dependency errors.

出力されていたら、次を実行します。

prelink /bin/bash

再度 ./rkhunter –propupd –check –sk –pkgmgr RPM で実行すると、Warning がなくなります

     :
  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
     :
     :

Checking application versions で Warning が出る場合

Checking application versions の箇所で、以下のように Warning が出ることがあります。

     :
Checking application versions...
    Checking version of GnuPG                                [ OK ]
    Checking version of Apache                               [ Warning ]
    Checking version of OpenSSL                              [ OK ]
    Checking version of OpenSSH                              [ OK ]
     :
     :

この場合は、ログ rkhunter.log を確認します。
rkhunter.log はカレントディレクトリ下にあります。

すると、ログに下記のような表示が見つかります。

[23:01:21]   Checking version of Apache                      [ Warning ]
[23:01:21] Warning: Application 'httpd', version '2.2.15', is out of date, and possibly a security risk.

Apache のプロセス httpd のバージョンが 2.2.15 で、これは古いバージョンだと言っています。
古いと判断されるバージョンは、Rootkit Hunter のファイル programs_bad.dat に列挙されています。

ただし、CentOS6 の Apache(Httpd)の最新は 2.2.15 でセキュリティパッチも適宜当てられているようなので、バージョン 2.2.15 で Warning が出ないように設定します。

設定は rkhunter.conf の APP_WHITELIST で行います。
下記を追加します。

APP_WHITELIST="httpd:2.2.15"

再度 ./rkhunter –propupd –check –sk –pkgmgr RPM で実行すると、Warning がなくなります

     :
Checking application versions...
    Checking version of GnuPG                                [ OK ]
    Checking version of Apache                               [ OK ]
    Checking version of OpenSSL                              [ OK ]
    Checking version of OpenSSH                              [ OK ]
     :
     :

インストール

Warning が出ずに実行できるようになったら、インストールします。
installer.sh があるディレクトリで、下記を実行します。

./installer.sh --install

これでインストール完了です。

チェックを実行する場合は、以下を実行します。

/etc/cron.daily/prelink
rkhunter --propupd --check --sk --pkgmgr RPM

参考

The Rootkit Hunter project
rkhunterのインストールと設定 – しょぼんメモリ (´・ω・`)
Rootkit Hunter – Pocketstudio.jp Linux Wiki
rkhunterで –propupd してもハッシュが合わない場合 – しょぼんメモリ (´・ω・`)
ヒコウリツチュウ: rkhunterの初期Warning対応
rkhunter | beroの日記 | スラッシュドット・ジャパン

コメント