|
RKHunte は、システムが ootkit に感染しているかどうかを検出するための専門的なツールです。RKHunte は、一連のスクリプトを実行することで、サーバーが ootkit に感染しているかどうかを確認できます。この記事では主にRKHunteのインストールと使用方法のチュートリアルご参考までに。 RKHunte をインストールします (ダウンロード アドレス: https://soucefoge.net/pojects/khunte/files/ltest/downlod) [oot@see ~]# t -zxf khunte-.4.6.t.gz #バージョンは異なるかもしれませんが、コマンドは同じです [oot@see ~]# cd khunte-.4.6 [oot@see khunte-.4.6]# ./instlle.sh デフォルトの Rlyout インストール
注: RKHunteのデフォルトのインストールディレクトリは/us/locl/binです。 2. RKHunteの共通パラメータのリスト パラメータ | 意味 | -c、再チェック | 現在のシステムの検出を示す必須パラメータ | Rconfigfile <ファイル> | 特定の設定ファイルを使用する | Rコンジョブ | 定期的にコンタスクとして実行する | Rsk、Rskipキー押下 | すべての検出を自動的に完了し、キーボード入力をスキップします | ルサミ | 検出結果の統計を表示します | ルプテ | 更新されたコンテンツを確認する | -V、レシオン | バージョン情報を表示する | レジオンチェック | 最新バージョンを確認する | Rpopupd [ファイル | diectoy ] | サンプルファイルを作成します。システムをインストールした後に作成することをお勧めします。 | 検出例: [oot@mste khunte-.4.6]# khunte -c [ Rootkit Hunte バージョン .4.6 ] システム コマンドをチェックしています... 'stings' コマンド チェックを実行しています 'stings' コマンドをチェックしています [ OK ] 'shed libies' チェックを実行しています ロード可能なファイルをチェックしています [ 何も見つかりません ] ロード可能なファイルをチェックしています [ 何も見つかりません ] LD_LIBRARY_PATH チェックを実行しています [ 見つかりません ] ファイル プロパティ チェックを実行しています 要件をチェックしています [ Wning ] /us/locl/bin/khunte [ OK ] /us/sbin/dduse [ OK ] /us/sbin/chkconfig [ OK ] /us/sbin/choot [ OK ] /us/sbin/depmod [ OK ] /us/sbin/fsck [ OK ] /us/sbin/goupdd [ OK ] [ OK ] /us/sbin/modpobe [ OK ] /us/sbin/nologin [ OK ] /us/sbin/pwck [ OK ] /us/sbin/mmod [ OK ] /us/sbin/oute [ OK ] /us/sbin/syslogd [ OK ] /us/sbin/unleel [ OK ] /us/sbin/sesttus [ OK ] [ OK ] /us/bin/sshd [ OK ] /us/sbin/sulogin [ OK ] /us/sbin/sysctl [ OK ] /us/sbin/usedd [ OK ] /us/sbin/usedel [ OK ] /us/sbin/usemod [ OK ] /us/sbin/ipw [ OK ] /us/bin/wk [ OK ] /us/bin/bsenme [ OK ] /us/bin/bsh [ OK ] /us/bin/ct [ OK ] /us/bin/chtt [ OK ] /us/bin/chmod [ OK ] /us/bin/chown [ OK ] /us/bin/cp [ OK ] /us/bin/cul [ OK ] /us/bin/cut [ OK ] /us/bin/dte [ OK ] /us/bin/df [ OK ] /us/bin/diff [ OK ] /us/bin/dinme [ OK ] /us/bin/dmesg [ OK ] /us/bin/du [ OK ] /us/bin/echo [ OK ] /us/bin/egep [ 出力 ] /us/bin/en [ OK ] /us/bin/fgep [ 出力 ] /us/bin/file [ OK ] /us/bin/find [ OK ] /us/bin/gep [ OK ] /us/bin/goups [ OK ] /us/bin/hed [ OK ] /us/bin/id [ OK ] /us/bin/ipcs [ OK ] /us/bin/kill [ OK ] /us/bin/lst [ OK ] /us/bin/lstlog [ OK ] /us/bin/ldd [ 出力 ] /us/bin/less [ OK ] /us/bin/logge [ OK ] /us/bin/login [ OK ] /us/bin/ls [ OK ] /us/bin/lstt [ OK ] [ OK ] /us/bin/md5sum [ OK ] /us/bin/mktemp [ OK ] /us/bin/moe [ OK ] /us/bin/mount [ OK ] /us/bin/m [ OK ] /us/bin/netstt [ OK ] /us/bin/newgp [ OK ] /us/bin/psswd [ OK ] /us/bin/pel [ OK ] /us/bin/pgep [ OK ] /us/bin/ping [ OK ] /us/bin/pkill [ OK ] /us/bin/ps [ OK ] /us/bin/pwd [ OK ] /us/bin/edlink [ OK ] /us/bin/pm [ OK ] /us/bin/uncon [ OK ] /us/bin/sed [ OK ] /us/bin/sh [ OK ] /us/bin/shsum [ OK ] /us/bin/sh224sum [ OK ] /us/bin/sh256sum [ OK [ OK ] /us/bin/sh384sum [ OK ] /us/bin/sh52sum [ OK ] /us/bin/size [ OK ] /us/bin/sot [ OK ] /us/bin/ssh [ OK ] /us/bin/stt [ OK ] /us/bin/stce [ OK ] /us/bin/stings [ OK ] /us/bin/su [ OK ] /us/bin/sudo [ OK ] /us/bin/til [ OK ] /us/bin/telnet [ OK ] /us/bin/test [ OK ] /us/bin/top [ OK ] /us/bin/touch [ OK ] /us/bin/t [ OK ] /us/bin/unme [ OK ] /us/bin/uniq [ OK ] /us/bin/uses [ OK ] /us/bin/mstt [ OK ] /us/bin/w [ OK ] /us/bin/wtch [ OK ] : /us/bin/wc [ OK ] /us/bin/wget [ OK ] /us/bin/whtis [ OK ] /us/bin/wheeis [ OK ] /us/bin/which [ OK ] /us/bin/who [ OK ] /us/bin/whomi [ OK ] /us/bin/numfmt [ OK ] /us/bin/kmod [ OK ] /us/bin/systemctl [ OK ] /us/bin/gwk [ OK ] /us/lib/systemd/systemd [ OK ] /etc/khunte.conf [ OK ] [続行するには<ENTER>を押してください] ルートキットをチェックしています... 既知のルートキット ファイルとディレクトリのチェックを実行しています 55808 Tojn - Vint A [ 見つかりません ] ADM Wom [ 見つかりません ] AjKit Rootkit [ 見つかりません ] Adoe Rootkit [ 見つかりません ] P Kit [ 見つかりません ] ] APCHE WOM [発見されていない] RootKit [見つかりません] Blu rootKit [見つかりません] BEX2 rootKit [見つかりません] Bobkit rootkit [見つかりません] Cinik wome(slppe.b int)rootkitそれはrootkit [見つかりません] dems rootkit [見つかりません] duwkz rootkit [見つかりません] ebuy bckdoo [見つかりません] enye lkm ] ignoKit Rootkit [ 見つかりません ] IntoXoni-NG Rootkit [ 見つかりません ] Iix Rootkit [ 見つかりません ] Jynx Rootkit [ 見つかりません ] Jynx2 Rootkit [ 見つかりません ] KBest Rootkit [ 見つかりません ] Kitko Rootkit [ 見つかりません ] Knk Rootkit [ 見つかりません ] ld-linux.so Rootkit [ 見つかりません ] Li0n Wom [ 見つかりません ] Lockit / LJK2 Rootkit [ 見つかりません ] Mokes bckdoo [ 見つかりません ] Mood-NT Rootkit [ 見つかりません ] MRK Rootkit [ 見つかりません ] Ni0 Rootkit [ 見つかりません ] Ohh Rootkit [ 見つかりません ] Optic Kit (Tux) Wom [ 見つかりません ] Oz Rootkit [ 見つかりません ] Phlnx Rootkit [ 見つかりません ] Phlnx2 Rootkit [ 見つかりません ] Phlnx2 Rootkit ] 'Spnish' ルートキット [ 見つかりません ] Suckit ルートキット [ 見つかりません ] Supekit ルートキット [ 見つかりません ] TBD (Telnet BckDoo) [ 見つかりません ] TeLeKiT ルートキット [ 見つかりません ] T0n ルートキット [ 見つかりません ] tNkit ルートキット [ 見つかりません ] Tojnit キット [ 見つかりません ] Tuxtendo Rootkit [見つかりません] URK Rootkit [見つかりません] Vmpie Rootkit [見つかりません] VcKit Rootkit [見つかりません] Volc Rootkit [見つかりません] Xzibit Rootkit [見つかりません] zRwT.KiT Rootkit [見つかりません] ZK Rootkit [見つかりません] [続行するには<ENTER>を押してください] 追加のルートキット チェックを実行しています Suckit Rootkit 追加のルートキット チェックを実行しています [OK] 可能性のあるルートキット ファイルとディレクトリをチェックしています [見つかりません] 可能性のあるルートキット ストリングをチェックしています [見つかりません] 追加のルートキット チェックを実行しています 疑わしいファイルの実行プロセスをチェックしています [見つかりません] ログイン バックドアをチェックしています [見つかりません] スニッフィ ログ ファイルをチェックしています [見つかりません] 疑わしいディレクトリをチェックしています [見つかりません] 疑わしい (長い) シェッド メモリをチェックしていますセグメント[なし] bckdooのチェック[見つかりません] pefoming linux特定のチェックは、Kenelモジュールのチェック[OK] [OK] [PESS <Enter>] Netwok ... intefces [none wund] loclホストのチェック... fo loclホストnmeのチェック[Fund] fo system sttupファイル[見つかった]システムsttupファイルのチェック[なし] goup nd ccountチェック見つかった] その他の疑わしい構成設定をチェックしています [ 見つかりません ] システム ログ デーモンをチェックしています [ 見つかりました ] システム ログ設定ファイルをチェックしています [ 見つかりました ] syslog メッセージのログ記録が許可されているかどうかをチェックしています [ 許可されていません ] ファイルシステム チェックを実行しています 疑わしいファイル タイプを /de でチェックしています [ 失敗 ] 隠しファイルとディレクトリをチェックしています [ 失敗 ] [続行するには <ENTER> を押してください] システム チェックが成功しました======================= ファイルプロパティ チェック中... 必要なコマンド チェック済み チェックしたファイル: 27 疑わしいファイル: 5 ルートキット チェック中... チェックしたルートキット: 496 可能性のあるルートキット: 0 アプリケーション チェック中... すべてのチェックをスキップ システム チェックにかかった時間: 5 分 43 秒 すべての結果はログ ファイルに記録されています: //log/khunte.log システム チェック中に 1 つのイベントが見つかりました。ログ ファイルを確認してください (//log/khunte.log)解釈: 各テスト結果が強調表示され、緑は正常、赤は注意が必要であることを意味します。上記のテストでは、ユーザーの操作が必要で、「Enter」を入力します。Rsk オプションを使用して自動化できます。 [oot@mste khunte-.4.6]# khunte Rcheck Rskip-keypess
3. 定期的な検出 Linux ターミナルは検出に khunte を使用します。最大の利点は、各テスト結果が異なる色で表示されることです。緑であれば問題がないことを意味します。赤であれば注意が必要です。また、上記の検出プロセス中、検出の各部分が完了したら、Enter キーを押して続行する必要があります。プログラムを自動的に実行したい場合は、次のコマンドを実行できます。 30 09 * * * oot /us/locl/bin/khunte –check –conjob
解釈: クンテ検出プログラムは毎日 9:30 に 1 回実行されます。 4. セキュリティアップデート 脆弱性があるかどうかをテストするには、次のコマンドを実行します。 $ en x='() { :;}; echo ulneble̻ bsh -c “echo this is test̶ ウルネブル これはテストです
上記のように表示された場合は、残念ながら、すぐにセキュリティ パッチを適用して修正する必要があります。 一時的な解決策は次のとおりです。 yum -y アップデート bsh
bsh をアップグレードした後、テストを実行します。 $ en x='() { :;}; echo ulneble̻ bsh -c “echo this is test̶ bsh: wning: x: 関数定義を無視する bsh: eo 関数定義を `x̻ にインポートする これはテストです
上記のように表示される場合は、脆弱性が修正されたことを意味します。 | 
