|
chkrootkitはローカルサーバの改竄ところ(rootkit)をチェックするためのフリーツールです。 chkrootkitは次のツールをもってあります。
- chkrootkit: 改竄されたシステム関連のバイナリのシェルスクリプト
- ifpromisc.c: NICのpromiscuousモードのチェックツール
- chklastlog.c: ラストログ削除のチェックツール
- chkwtmp.c: wtmp ログ削除のチェックツール
- check_wtmpx.c: wtmpx ログ削除のチェックツール(Solaris のみ)
- chkproc.c: LKM trojansのチェックツール
- chkdirs.c: LKM trojansのチェックツール
- strings.c: 文字列の入れ替えツール
- chkutmp.c: utmp削除のチェックツール
ChkrootkitツールはInsecure.Orgの調査により"Top 100 Network Security
Tools"、2006 版に報告されました。chkrootkit を応援した皆様に感謝致します!
最新ニュース
chkrootkit 0.47 リリース!!! (リリース日時: 2006年10月10日(火)) このバージョンが新内容は次のようになります。
- chkproc.c
- バグの問題を修正した、 thanks to Lantz Moore
- LKMsをチェックするためにgetpriority()関数を利用した、Yjesus(unhide)とSlider/Flimbo (skdet)へ感謝します。
- 新しいルートキット Enye LKMに対してチェック機能を追加した
- chkrootkit
- 新テスト機能: crontab
- 新ルートキットを確認した: Enye LKM, Lupper.Worm, shv5
- bindshell動作テストために対象ポートを追加した
- 幾つかのバグに対して修正した
実績と検出可能なrootkits
次のテストを作成しました。
-
aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper
z2 chkutmp amd basename biff chfn chsh cron crontab date du dirname
echo egrep env find fingerd gpm grep hdparm su ifconfig inetd
inetdconf identd init killall ldsopreload login ls lsof mail mingetty
netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd
slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed
traceroute vdir w write
次のrootkits、ワーム、LKMsが検出されます。
| 01. lrk3, lrk4, lrk5, lrk6 (and variants); |
02. Solaris rootkit; |
03. FreeBSD rootkit; |
| 04. t0rn (and variants); |
05. Ambient's Rootkit (ARK); |
06. Ramen Worm; |
| 07. rh[67]-shaper; |
08. RSHA; |
09. Romanian rootkit; |
| 10. RK17; |
11. Lion Worm; |
12. Adore Worm; |
| 13. LPD Worm; |
14. kenny-rk; |
15. Adore LKM; |
| 16. ShitC Worm; |
17. Omega Worm; |
18. Wormkit Worm; |
| 19. Maniac-RK; |
20. dsc-rootkit; |
21. Ducoci rootkit; |
| 22. x.c Worm; |
23. RST.b trojan; |
24. duarawkz; |
| 25. knark LKM; |
26. Monkit; |
27. Hidrootkit; |
| 28. Bobkit; |
29. Pizdakit; |
30. t0rn v8.0; |
| 31. Showtee; |
32. Optickit; |
33. T.R.K; |
| 34. MithRa's Rootkit; |
35. George; |
36. SucKIT; |
| 37. Scalper; |
38. Slapper A, B, C and D; |
39. OpenBSD rk v1; |
| 40. Illogic rootkit; |
41. SK rootkit. |
42. sebek LKM; |
| 43. Romanian rootkit; |
44. LOC rootkit; |
45. shv4 rootkit; |
| 46. Aquatica rootkit; |
47. ZK rootkit; |
48. 55808.A Worm; |
| 49. TC2 Worm; |
50. Volc rootkit; |
51. Gold2 rootkit; |
| 52. Anonoying rootkit; |
53. Shkit rootkit; |
54. AjaKit rootkit; |
| 55. zaRwT rootkit; |
56. Madalin rootkit; |
57. Fu rootkit; |
| 58. Kenga3 rootkit; |
59. ESRK rootkit; |
60. rootedoor rootkit; |
| 61. Enye LKM; |
62. Lupper.Worm; |
63. shv5; |
chkrootkitは次のサーバのOS環境で動作検証を行いました。
Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x,
FreeBSD 2.2.x, 3.x, 4.x and 5.x, OpenBSD 2.x and 3.x., NetBSD 1.6.x,
Solaris 2.5.1, 2.6, 8.0 and 9.0, HP-UX 11, Tru64, BSDI and Mac OS X.
詳しくはchkrootkitの
READMEを参照ください。
メーリングリスト
参加するには、
Linuxコンソール環境に次のように追加するか
echo "subscribe users メールアドレス" | mail majordomo@chkrootkit.org
或いは、メーラーでmajordomo@chkrootkit.orgへ【subscribe users メールアドレス】の内容で
送ってください。
メーリングリストのアーカーブが The Mailing list ARChives
(MARC)にあります。
著者へ連絡
コメント、新ルートキットの確認、質問、バグのレポートなどについては、Nelson Murilo
<nelson@pangeia.com.br> (main author) と Klaus Steding-Jessen
<jessen@cert.br> (co-author)へメールを送ってください。
|
![[chkrootkit: kicking script kiddies' asses since 1997]](/images/chkrootkit-logo.jpg){kind=logo}