[root@server1 ~]# git clone https://github.com/Magentron/chkrootkit.git ← chkrootkitをダウンロードします。
[root@server1 ~]# cp chkrootkit/chkrootkit /usr/local/bin/ ← chkrootkitをインストールします。
[root@server1 ~]# rm -rf chkrootkit ← ダウンロードしたchkrootkitを削除します。
[root@server1 ~]# chkrootkit | grep INFECTED ← chkrootkitを実行します。
↑”INFECTED”という行が表示されなければ問題ありません。
[root@server1 ~]# vi /etc/cron.daily/chkrootkit ← chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成します。
#!/bin/bash
LOG=/tmp/$(basename ${0})
# chkrootkitを実行します。
chkrootkit > $LOG 2>&1
# ログ出力
cat $LOG | logger -t $(basename ${0})
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $LOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $LOG
fi
# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $LOG)" ] && \
[ -z "$(rpm -V `rpm -qf /sbin/init`)" ]; then
sed -i '/Suckit/d' $LOG
fi
# rootkit検知時のみroot宛にメールを送信します。
[ ! -z "$(grep INFECTED $LOG)" ] && \
grep INFECTED $LOG | mail -s "chkrootkit report in `hostname`" root
[root@server1 ~]# chmod 700 /etc/cron.daily/chkrootkit ← chkrootkit実行スクリプトへ実行権限を付加します。