BBS過去ログ

• rootkitについての質問 - 蔵 04/05/26-01:44 No.38
  • Re: rootkitについての質問 - webmaster 04/05/26-14:00 No.40
    • Re^2: rootkitについての質問 - 蔵 04/05/27-15:02 No.43
      • Re^3: rootkitについての質問 - webmaster 04/05/27-23:01 No.46
        • Re^4: rootkitについての質問 - 蔵 04/05/27-23:16 No.47
          • Re^5: rootkitについての質問 - webmaster 04/05/28-09:38 No.56
            • Re^6: rootkitについての質問 - 蔵 04/05/28-13:13 No.57

webmasterさん、みなさん、はじめまして。
こちらのサイトは初心者の私にとって大変参考にさせていただいています。
助かります。

こちらのサイトを参考に、rootkit検知ツールを導入しました。
INFECTEDはなかったのですが、
下記のように表示され気になっています。

Checking `sniffer'... /proc/17960/fd: No such file or directory
> eth0: PF_PACKET(/sbin/dhclient, /usr/sbin/snort-plain)

何分初心者な者で、上記の意味がわかりません。
上記の意味、対処するべきかどうか、どう対処したらよいかをお教えいただけるとうれしいです。
よろしくお願いします。

蔵様、はじめまして。
> Checking `sniffer'... /proc/17960/fd: No such file or directory
> > eth0: PF_PACKET(/sbin/dhclient, /usr/sbin/snort-plain)
について、ネットでいろいろ調べてみました。
上記は、ネットワークインタフェースがプロミスキャストモードで動作していないかチェックした結果、dhclientと、snort-plainがひっかかったということらしいです。
プロミスキャストモードとは、そのホストにとっては必要ないパケット情報も含め、全て受信する状態をいうそうです。

※ネットワーク上を流れるパケットを監視してネットワークの管理に使用するためのハードやソフトの通称をsnifferというらしく、プロミスキャストモードチェックのことをchkrootkitではsnifferチェックといっているようです。
このsnifferを悪用すればネットワーク上を流れる自ホスト宛以外のパケットを受信することができるため、パスワード等の情報を盗聴することができるため、クラッカーがsnifferを仕掛けることがあるそうです。

さて、蔵様の場合は、chkrootkitを動作させたホスト上でDHCPクライアントと、snortが動作しているようです。
これらは、その動作の性質上、自ホスト宛以外のパケットも受信する必要があると思います。
DHCPクライアントは、ルータを導入している環境であれば、通常、ルータがDHCPサーバとなっているため、ルータからIPアドレスをふってもらうためにDHCPクライアントが必要なため、この場合は問題ないと思います。
snortは自分でsnortを導入しているのであれば、この場合も問題ないと思います。

なお、上記はネット上を検索して得た情報を統合して私自身が解釈した結果であり、問題がないとは言い切れませんので、このまま運用を継続するかどうかは蔵様自身で判断をしてください。

また、この他に有用な情報をお持ちの方がおりましたら、書き込みをぜひお願い致します。

webmasterさん、みなさん、こん××は。
webmasterさん、丁寧なレスをありがとうございます。

webmasterさんのご解説により、下記の意味がよくわかりました。
Checking `sniffer'... /proc/17960/fd: No such file or directory
> eth0: PF_PACKET(/sbin/dhclient, /usr/sbin/snort-plain)

私の環境について書きます。
まずDHCPクライアントについてです。
webmasterさんのご指摘どおり、私の環境はルーターを導入しています。
そしてルーターがDHCPサーバとなっています。
次にsnortについてです。
snortもご指摘のとおり、こちらのサイトを参考にさせていただき
私が導入しました。

私の環境は、上記のようにwebmasterさんのご指摘どおりです。
よってwebmasterさんの解釈では問題がないというですよね。
私はこの環境で運用しようと思います。

ただし、できれば改善はしたいと思いますが…

DHCPクライアントとsnortについては、私の環境上やむを得ないと思います。
それであればせめて、root宛に

/proc/17960/fd: No such file or directory
warning, got bogus unix line.

というメールが来るのですが、この内容のメールだけ来ないように設定できるとうれしく思います。
肝心なrootkitがインストールされていた場合のメールはきちんと届くようにした上でですが。

この件につきましてwebmasterさん、みなさんから他に何かありましたら、お教え願います。

> それであればせめて、root宛に
>
> /proc/17960/fd: No such file or directory
> warning, got bogus unix line.
>
> というメールが来るのですが、この内容のメールだけ来ないように設定できるとうれしく思います。
不正侵入支援ツール検知ツール導入(chkrootkit)http://fedorasrv.com/chkrootkit.shtmlの■chkrootkit定期自動実行設定のようにすれば、rootkitを検知した場合のみ、root宛にメールされるようになります。

> 不正侵入支援ツール検知ツール導入(chkrootkit)http://fedorasrv.com/chkrootkit.shtmlの■chkrootkit定期自動実行設定のようにすれば、rootkitを検知した場合のみ、root宛にメールされるようになります。
上記のページと同じ設定にしていますが、root宛に

/proc/17960/fd: No such file or directory
warning, got bogus unix line.

というメールが来ます。

> > 不正侵入支援ツール検知ツール導入(chkrootkit)http://fedorasrv.com/chkrootkit.shtmlの■chkrootkit定期自動実行設定のようにすれば、rootkitを検知した場合のみ、root宛にメールされるようになります。
> 上記のページと同じ設定にしていますが、root宛に
>
> /proc/17960/fd: No such file or directory
> warning, got bogus unix line.
>
> というメールが来ます。
chkrootkit.shを以下のようにすれば、rootkit検知時のみ、root宛にメールされるようになります。
#!/bin/sh

chkrootkit 2>&1 > /var/log/chkrootkit.log
grep "INFECTED" /var/log/chkrootkit.log
chmod 600 /var/log/chkrootkit.log

rootkit検知以外のエラーが発生していないかみたい場合は、/var/log/chkrootkit.logを参照すればよいです。

webmasterさん、みなさん、こん××は。
webmasterさん、ご回答ありがとうございました。

> #!/bin/sh
>
> chkrootkit 2>&1 > /var/log/chkrootkit.log
> grep "INFECTED" /var/log/chkrootkit.log
> chmod 600 /var/log/chkrootkit.log

早速、chkrootkit.shを以上のように設定してみます。