(1)chkrootkitインストール

※なぜchkrootkitをインストールするのかというと、chkrootkitというrootkit検知ツールを
　導入して、rootkitがLinuxサーバーにインストールされてしまっていないかチェックする
　ためです。

※なお、chkrootkitが検知できるのは既知のrootkitのみであり、新たなrootkitの検知はでき
　ない。また、rootkitが設置されていないにもかかわらず、chkrootkitが誤ってrootkitを検
　知したとアラームをあげる場合もあるので、chkrootkitによるrootkitの検知結果は参考程
　度としておく。

【CentOS6,5の場合、EPELリポジトリ導入(EPEL)をまずはすませましょう。】

[root @ホスト名 ~]# yum -y install chkrootkit ← chkrootkitインストール

(2)chkrootkit確認

[root @ホスト名 ~]# chkrootkit | grep INFECTED ← chkrootkit実行
上記chkrootkit実行結果として”INFECTED”という行が表示されなければ問題なし

(3)chkrootkit定期自動実行設定

[root @ホスト名 ~]# vi /etc/cron.daily/chkrootkit
↑ chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成

[root @ホスト名 ~]# chmod 700 /etc/cron.daily/chkrootkit
↑ chkrootkit実行スクリプトへ実行権限付加

これで毎日定期的にrootkitがインストールされていないかチェックされ、インストールされていた場合はroot宛にメールが届くようになる。また、chkrootkitの実行結果は/var/log/messagesに保存される。

(4)chkrootkitで使用する安全なコマンドの確保

chkrootkitが使用するコマンド群が既に改竄されていた場合、rootkitを正常に検出できなくなるので、chkrootkitが使用するコマンド群をコピーしておき、必要な場合はそのコマンド群を使用してchkrootkitを実行する。

[root @ホスト名 ~]# mkdir chkrootkitcmd
↑ chkrootkit使用コマンド退避先ディレクトリ作成

↑ chkrootkit使用コマンドを退避先ディレクトリへコピー

[root @ホスト名 ~]# chkrootkit -p /root/chkrootkitcmd|grep INFECTED
↑退避したchkrootkit使用コマンドを使用してchkrootkit実行

[root @ホスト名 ~]# zip -r chkrootkitcmd.zip chkrootkitcmd/
↑ chkrootkit使用コマンド退避先ディレクトリ圧縮

[root @ホスト名 ~]# rm -rf chkrootkitcmd
↑ chkrootkit使用コマンド退避先ディレクトリ削除

[root @ホスト名 ~]# yum -y install sharutils
↑ mailコマンドでzipファイル添付メールを送信するのに必要なuuencodeコマンドインス
　トール

[root @ホスト名 ~]# uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root
↑ chkrootkit使用コマンド(圧縮版)をroot宛にメール送信

[root @ホスト名 ~]# rm -f chkrootkitcmd.zip ← chkrootkit使用コマンド(圧縮版)削除