■chkrootkitのインストール
# yum -y install chkrootkit
■chkrootkitを実行
# chkrootkit | grep INFECTED
■cron用シェルスクリプトを作成
# vi /root/chkrootkit.sh
---------------------------------------------------------------------------
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# chkrootkit実行
chkrootkit > $TMPLOG
# ログ出力
cat $TMPLOG | logger -t chkrootkit
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
---------------------------------------------------------------------------
# chmod 700 /root/chkrootkit.sh
■cronに登録
# crontab -e
-------------------------------
48 4 * * * /root/chkrootkit.sh
-------------------------------
# yum -y install chkrootkit
■chkrootkitを実行
# chkrootkit | grep INFECTED
■cron用シェルスクリプトを作成
# vi /root/chkrootkit.sh
---------------------------------------------------------------------------
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# chkrootkit実行
chkrootkit > $TMPLOG
# ログ出力
cat $TMPLOG | logger -t chkrootkit
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
---------------------------------------------------------------------------
# chmod 700 /root/chkrootkit.sh
■cronに登録
# crontab -e
-------------------------------
48 4 * * * /root/chkrootkit.sh
-------------------------------