Rootkitが仕組まれていないかチェックする

Linuxは信頼性があり、安全なOSであると思います。しかし、いくら安全性が高いと言ってもそれはユーザー次第であることは確かです。もちろんドラマ等で良くPCやサーバーに侵入されて遠隔で相手を攻撃したりする踏み台にされたり等は身近な問題ではありませんが、実際悪い人に使われていたりすることは一般ユーザーは知る由もありません。人の定期的な検診と同じく、PCやサーバーも定期的なチェックが必要です。

Rootkit(ルートキット)

とりわけRootkitはMalwareと同じく厄介ですが、それは使用しているオペレーティングシステムの深いところに根付き、自分を隠してしまうからです。

さて、UbuntuでRootkitを探すのに使うソフトウェアはchkrootkit。簡単にインストールでき、簡単に実行してRootkitがインストールされているかを調べることができます。インストールするには以下をターミナルで実行。

chkrootkitをインストールするとこのような画面になります。

Rootkitの有無を診断するにはターミナルで以下を実行する。GUI環境下のターミナルで実行すると見やすくスクロールできます。

chkrootkitの実行結果

以下はUbuntu Server 16.10をクリーンインストールし、update、upgradeを実行したあとに行った結果です。

CUIのchkrootkitの実行結果。

GUIでのchkrootkitの実行結果


chkrootkitでのfalse positiveの結果

まっさらな状態なのに「tcpd」が「INFECTED」と表示されているのが気になる。

調べた結果、

tcpdの場所を調べ、

sha1sumを確認。

これで何がわかるかというと、他の人とチェックサムが同じかどうかを調べる。

結果的に他の人も同じ結果が出るということがわかる。つまりはfalse positiveであったということがわかる。

あ、気づきましたか?記事が少しでも役に立ったと思ったらシェアでもコメントでもしてみてください^^;
このページの短いURL: https://thejuraku.com/pc/?p=4701
110 queries in 0.748 seconds.