FC2ブログ

AVG for Linux ってどーよ?

残念ながらx64用はないんだよね。i386のみ。
でもサーバー機の方はi386にしてみたので、これを導入。AVGかAvast!か迷ったけど。どうせGUI操作なんてこっちのサーバー機ではほとんどしないので、AVGの方を。Anast!ならGUIが付いてるんだけど。

Linuxで使えるウィルス対策ソフトっていうと、ClamAV(+ClamTK or KlamAV)かF-protかAVGかAvast!か。
で、AVGとAvast!はi386しかないんすよ。
ClamAVは誤検出が多いような感じだし、たまにスキャン中フリーズするし、ってことで、せっかくi386にしたサーバー機の方にはAVGを入れてみましたよっと。
DLはここから。debがあるので楽々。しかしCUIからDLせねばなるまい。
http://free.avg.com/gb-en/download.prd-afl
debのアドレスがhttp://download.avgfree.com/filedir/inst/avg85flx-r812-a3371.i386.debなので、これをwgetでDL。

$ wget http://download.avgfree.com/filedir/inst/avg85flx-r812-a3371.i386.deb
--2010-05-23 21:32:57-- http://download.avgfree.com/filedir/inst/avg85flx-r812-a3371.i386.deb
download.avgfree.com をDNSに問いあわせています... 212.67.88.91
download.avgfree.com|212.67.88.91|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 302 Found
場所: http://downloadfree.grisoft.com/inst/avg85flx-r812-a3371.i386.deb [続く]
--2010-05-23 21:32:59-- http://downloadfree.grisoft.com/inst/avg85flx-r812-a3371.i386.deb
downloadfree.grisoft.com をDNSに問いあわせています... 184.50.27.16, 184.50.27.56
downloadfree.grisoft.com|184.50.27.16|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 84471618 (81M) [text/plain]
`avg85flx-r812-a3371.i386.deb.1' に保存中

100%[=================================>] 84,471,618 6.25M/s 時間 9.8s

2010-05-23 21:33:09 (8.23 MB/s) - `avg85flx-r812-a3371.i386.deb.' へ保存完了 [84471618/84471618]


おっけー。

~$ ls
Desktop avgscan.log share
avg85flx-r812-a3371.i386.deb←これね。 file.php?id=83
phc-k8_v0.4.2



ではインストール。これ、再インストールした時の出力結果なのでビミョーに違うとこあるけどキニシナイデ。

$ sudo dpkg -i avg85flx-r812-a3371.i386.deb
(データベースを読み込んでいます ... 現在 191153 個のファイルとディレクトリがインストールされています。)
avg85flx 8.5.812 を (avg85flx-r812-a3371.i386.deb で) 置換するための準備をしています ...
* Stopping avgd [ ok ]
avg85flx を展開し、置換しています...
Uninstalling 'avgd' service initscripts...
Unregistering 'avgd' service ...
Removing any system startup links for /etc/init.d/avgd ...
/etc/rc0.d/K20avgd
/etc/rc1.d/K20avgd
/etc/rc2.d/S20avgd
/etc/rc3.d/S20avgd
/etc/rc4.d/S20avgd
/etc/rc5.d/S20avgd
/etc/rc6.d/K20avgd
avg85flx (8.5.812) を設定しています ...
Installing 'avgd' service initscripts...
Registering 'avgd' service to runlevels...
update-rc.d: warning: avgd start runlevel arguments (2 3 4 5) do not match LSB Default-Start values (3 5)
update-rc.d: warning: avgd stop runlevel arguments (0 1 6) do not match LSB Default-Stop values (0 1 2 6)
Adding system startup for /etc/init.d/avgd ... ←ここで起動時に自動的にデーモンが起動するように登録してる。
/etc/rc0.d/K20avgd -> ../init.d/avgd
/etc/rc1.d/K20avgd -> ../init.d/avgd
/etc/rc6.d/K20avgd -> ../init.d/avgd
/etc/rc2.d/S20avgd -> ../init.d/avgd
/etc/rc3.d/S20avgd -> ../init.d/avgd
/etc/rc4.d/S20avgd -> ../init.d/avgd
/etc/rc5.d/S20avgd -> ../init.d/avgd
Registering with license: 8FREE-VHRDW-PAP8C-E64FA-9ZMGD-6D6L2-EEHG
AVG command line controller
Copyright (c) 2010 AVG Technologies CZ

License was successfully changed.
Operation successful.

man-db のトリガを処理しています ...


起動時に起動するデーモンがあるので、再起動。

$ sudo reboot


AVG関連のデーモンの確認。
$ ps -ef | grep avg
root 1517 1 2 21:38 ? 00:00:00 /opt/avg/avg8/bin//avgd
root 1554 1517 1 21:38 ? 00:00:00 /opt/avg/avg8/bin/avgavid
root 1628 1517 0 21:38 ? 00:00:00 /opt/avg/avg8/bin/avgtcpd
root 1662 1628 23 21:38 ? 00:00:05 /opt/avg/avg8/bin/avgscand -c 3
root 2002 1517 1 21:38 ? 00:00:00 /opt/avg/avg8/bin/avgsched
tmin 2019 1971 0 21:38 pts/0 00:00:00 grep --color=auto avg


おっけー。rootのがこの5個あればおっけー。
さてスキャン。自動的に検出したの削除とかかくりはしてくれないらすぃ。ので、-r /home/tmin/avgscan.logのオプションつけてログを保存(この場合は/home/tmin/avgscan.log)するように指定してあげる。
この辺もうちょい親切になってくれればなー。

$ sudo avgscan -a / -r /home/tmin/avgscan.log
(長いので途中略)
Files scanned : 319552(262583)
Infections found : 0(0)
PUPs found : 0
Files healed : 0
Warnings reported : 0
Errors reported : 9663


とりあえず異常はないようですね。よかったよかった。
この間、それなりにCPUは食ってるけど、Athlon64x2でずっとフルロードってことはなく、まあ中間クロックで大体まかなえてるみたいで、これもなかなか好印象。
スキャン中のプロセス見てみると

$ top
top - 20:35:16 up 24 min, 2 users, load average: 2.13, 1.75, 1.21
Tasks: 122 total, 1 running, 121 sleeping, 0 stopped, 0 zombie
Cpu(s): 99.2%us, 0.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0
Mem: 1865152k total, 1824372k used, 40780k free, 80296k buffers
Swap: 3879928k total, 508k used, 3879420k free, 1393156k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2213 root 20 0 225m 104m 7780 S 200 5.8 18:02.26 avgscand
1 root 20 0 2784 1348 1184 S 0 0.1 0:00.43 init
2 root 20 0 0 0 0 S 0 0.0 0:00.00 kthreadd
3 root RT 0 0 0 0 S 0 0.0 0:00.00 migration/0
4 root 20 0 0 0 0 S 0 0.0 0:00.00 ksoftirqd/0
5 root RT 0 0 0 0 S 0 0.0 0:00.00 watchdog/0
6 root RT 0 0 0 0 S 0 0.0 0:00.00 migration/1
7 root 20 0 0 0 0 S 0 0.0 0:00.04 ksoftirqd/1
8 root RT 0 0 0 0 S 0 0.0 0:00.00 watchdog/1
9 root 20 0 0 0 0 S 0 0.0 0:00.03 events/0
10 root 20 0 0 0 0 S 0 0.0 0:00.06 events/1


さすがに結構リソース食ってはいますが。

同じファイル置いてるメイン機で、ClamAVとかは反応しちゃったりするとこあるんだよねー。
どうやら検出精度は結構いい感じなんじゃないかと。

あ、あと1時間おきに定義ファイル更新してくれるらしく、ここもなかなか好印象。
定期スキャンにはCronとか使わなきゃいけないっぽいけど。
で、メイン機の方にはClamAVと、最近F-prot入れてみたんだけど、このF-protもビミョー、かなぁ。過剰反応っていうか、明らかに大丈夫なファイルも検出されちゃったりして。

まぁ、Linux向けのウィルスなんてほとんどないし、あってもsudoやらのおかげで大して影響ないのが実情ですけどね。備えあれば憂い無しってことで。

関連記事
Ubuntuのセキュリティ対策
rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~
FireStarterでUbuntuのFirewallを細かく設定してみる
じゃあAvast!for Linuxはどうよ?
F-prot for Linuxはどう?
64ビットLinuxカーネル脆弱性がみつかったらしく。Ksplice Uptrackでチェック。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

FireStarterでUbuntuのFirewallを細かく設定してみる

Ubuntuのファイアウォールの設定をするにはuwf、iptableをコマンドで設定する方法や、guwfで設定する方法がありますが、俺のとこでは前からFireStarter使ってたので、これで設定してみることにしました。
Ubuntuのソフトウェアファイアウォール:UFWの利用(1)Ubuntuのソフトウェアファイアウォール:ufwの利用(2)(Ubuntu Weekly Recipe)にてuwfでの設定は詳しく説明してありましたのでこちらを使ってみるって人は覗いてみるといいかも。
あぁ、俺もたいして詳しい方じゃないから設定は試行錯誤でしたよw

guwfもfirestarterもたぶんこのuwfとかの設定をGUIで簡単にできるってだけなんですよね。
けどコマンドでルールを設定するのは結構面倒くさそう。
FireStarterでは設定した効果を確認しながら割と簡単にできました。
まずFireStarter起動。(起動エラーが出る人はFirestarterの起動エラー参考にしてみてください。
ヘルプページを見てみたら、どうやらこのソフトはデフォルトで大抵の人があんまり困らなくてそこそこ安全な設定になってるっぽいです。よーし、今まで何の設定もなく使ってた俺も平気ってことだw
まぁ、Ubuntuではデフォルトでポートは閉じてるって話だし、有効にしてるだけで大抵は平気なんですが。

Screenshot-Firestarter tmin-desktopまず、初期画面でアクティブな接続を確認します。
ここは設定変更後、何かがつながらなくなった時にも戻ってきて確認に使えます。

Screenshot-設定編集>設定>ポリシーで「すぐ適用する」にチェック。
これやっとかないと設定変えるごとにFirestarter再起動とかめんどっちーことをしなくちゃです。
(必要なサービス・ポートを全て理解してる人は大丈夫だと思いますが)

設定自体は「ポリシー」ってタブのとこから。
Screenshot-Firestarter tmin-desktop-2受信側(上り?)のほう。俺の場合はTorrentくらいかな。とりあえず。
サーバー機の場合はたぶんもっと色々追加しなくちゃでしょう。

Screenshot-新しい送信ルールの追加「ルールの追加」でポートorサービスを選ぶか入力するだけ。

Screenshot-Firestarter tmin-desktop-1送信側。普通にデスクトップPCとして使ってる場合はこっちの設定の方が重要。
初期では「デフォルトで許可するリスト」にチェックが入ってて、これは基本的に何の制約もない状態。
ここで下の方の「拒否するリスト」に追加してけばそのリストに登録したサービスやポートの通信は遮断されるってわけですね。

「デフォルトで拒否するリスト」のほうにチェックを入れてみると、今度は全ての通信が遮断されるみたい。FireFoxも読み込みエラーが出ちゃいます。
今回はこっちを使って、利用するサービスを許可していく方向で設定してみることにしました。

「ルールの追加」で許可するサービスを追加していきます。
まずHTTP(80)とHTTPS(443)。これはウェブ閲覧等。SSH(22)も入れとかないとSSH認証使うページに入れなくなります。
POP3(110)とImaps(993)、Pop3s(995)。これはメール(ThunderBird)。Pop3sはLiveMailで使うのか?
POP3、ImapsだけだとLiveMailログインできなかったけどGmail、プロバイダメールは大丈夫っぽかった。Pop3s追加したらLiveも大丈夫になったけど。

こんな感じで一つ一つ設定してけばOK。
設定したらよく使うアプリでネット接続使うものを動作させてみて、正常に動くか試してみるといいでしょう。
動かなかったら一度「デフォルトで拒否するリスト」にチェック入れて、「状態」タブでどのポート使ってるかチェックして、そのポートを追加してあげればいいです。
これの便利かつ安全なとこは、IPorホストによって許可する、しないを選べるとこ。
Screenshot-新しい送信ルールの追加-1例えばTelnet。これは遠隔操作のサービスで、サーバー専用機をメインのデスクトップ機からログインして操作するときなんかに使うんですが、これでホストを指定しとけば操作するマシン(デスクトップ機)からの通信のみ許可したりできるので、より安全ってわけです。
悪意ある人がTelnetで遠隔ログインするのを防げたりするわけですね。(IP偽装とかされたらどーか知りませんが)

通常にFireStarter導入しただけでアクティブな接続状態ってのはリアルタイムで監視できるので、これを参考に設定してみるといいかも。
得にDMZに置いてるサーバー機なんかはいらないサービスのポート許可してるとろくなことにならないと思うので。
逆にルーター通してるデスクトップ機なんかは通常使用に限ってはそんなにシビアに考えなくてもいいように思いますが、気になる人は設定詰めてみればより安心な環境を作れるでしょうね。

関連記事
Ubuntuのセキュリティ対策
Firestarterの起動エラー
rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~
AVG for Linux ってどーよ?
F-prot for Linuxはどう?
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~

Linuxのセキュリティ対策なんですが、普通に使ってる分にはあまり必要ないかも?でもチェックしとくに越したことはないです。
自分のPCがいつの間にか踏み台にされて、スパムやらウイルスの発信源になってたり・・・なんて嫌ですからね。
サーバー管理者なんかだともっと重要になってくるでしょう。

まずrootkitってのは、システムに不正侵入されたときに侵入者が使うツール。
Backdoorやらログ改竄やら、コマンド改変やらネット盗聴ツールやら、管理者に気付かれないようにプログラムを仕込むための詰め合わせです。
これが仕込まれてるってことは不正アクセスを受けたか、受けているか、で、自分のPCが誰かに使われている可能性が非常に高いってことになります。
chkrootkit・rkhunterはどちらもこの痕跡を調査するツールです。

両方ともsynapticでインストール可能です。もちろんapt-getでもおk.
まずはchkroot。使い方は簡単。コマンド一発です。

$ sudo chkrootkit

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/xulrunner-1.9.0.8/.autoreg /usr/lib/jvm/java-6-sun-1.6.0.13/.systemPrefs /usr/lib/jvm/.java-6-sun.jinfo /usr/lib/jvm/.java-6-openjdk.jinfo /usr/lib/firefox-3.0.8/.autoreg /lib/init/rw/.ramfs /lib/modules/2.6.28-11-generic/volatile/.mounted

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[3908], /usr/sbin/ntop[25900], /usr/sbin/snort[28355])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted


このように出力されますが、改竄検出の時は「INFECTED」って出ます。どうやら大丈夫みたい。
オプションは

Options:
-h show this help and exit
-V show version information and exit
-l show available tests and exit
-d debug
-q quiet mode
-x expert mode
-e exclude known false positive files/dirs, quoted,
space separated, READ WARNING IN README
-r dir use dir as the root directory
-p dir1:dir2:dirN path for the external commands used by chkrootkit
-n skip NFS mounted dirs


もし改竄後でchkrootkitが使うコマンドも改竄されてるんじゃねえの?ってほど疑わしい時には-pでCDにでも改竄されてる恐れのないコマンド群を入れて使うといいでしょう。

rkhunterはもうちょっと詳細だけど難しい感じでした。

$ sudo rkhunter -c

[ Rootkit Hunter version 1.3.2 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preload file [ Not found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/csh [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/bsd-csh [ OK ]
/bin/dash [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/rpm [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ OK ]
/usr/bin/bsd-mailx [ OK ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/unhide [ Warning ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/unhide-linux26 [ Warning ]

[Press to continue]


Checking for rootkits...

Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
FreeBSD Rootkit [ Not found ]
Fuck`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
ImperalsS-FBRK Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx Rootkit (strings) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
X-Org SunOS Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]

Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]

Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]

Performing trojan specific checks
Checking for enabled inetd services [ OK ]

Performing Linux specific checks
Checking kernel module commands [ OK ]
Checking kernel module names [ OK ]

[Press to continue]


Checking the network...
[sudo] password for tmin:
Performing check for backdoor ports
Checking for UDP port 2001 [ Not found ]
Checking for TCP port 2006 [ Not found ]
Checking for TCP port 2128 [ Not found ]
Checking for TCP port 14856 [ Not found ]
Checking for TCP port 47107 [ Not found ]
Checking for TCP port 60922 [ Not found ]

Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]

[Press to continue]


Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for local startup files [ Found ]
Checking local startup files for malware [ None found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ None found ]

[Press to continue]


Checking application versions...

Checking version of Exim MTA [ OK ]
Checking version of GnuPG [ OK ]
Checking version of OpenSSL [ OK ]
Checking version of PHP [ OK ]


System checks summary
=====================

File properties checks...
Files checked: 130
Suspect files: 2

Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0

Applications checks...
Applications checked: 4
Suspect applications: 0

The system checks took: 3 minutes and 52 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)


Warningって出てるのが疑わしいとこです。いくつか出てきてる・・・
けど調べたとこ、これ普通にrkhunterと一緒にインスコされたコマンドじゃん。。。
コマンド改竄・Rootkit・Backdoor・システムと、対話形式で進んでいくんですが時間は大してかかりません。
rkhunterのオプション

rkhunter {--check | --update | --propupd | --versioncheck |
--list [tests | languages | rootkits] |
--version | --help} [options]

Current options are:
--append-log Append to the logfile, do not overwrite
--bindir ... Use the specified command directories
-c, --check Check the local system
--cs2, --color-set2 Use the second color set for output
--configfile Use the specified configuration file
--cronjob Run as a cron job
(implies -c, --sk and --nocolors options)
--dbdir Use the specified database directory
--debug Debug mode
(Do not use unless asked to do so)
--disable [,...] Disable specific tests
(Default is to disable no tests)
--display-logfile Display the logfile at the end
--enable [,...] Enable specific tests
(Default is to enable all tests)
--hash {MD5 | SHA1 | NONE | Use the specified file hash function
} (Default is SHA1)
-h, --help Display this help menu, then exit
--lang, --language Specify the language to use
(Default is English)
--list [tests | languages | List the available test names, languages,
rootkits] or checked for rootkits, then exit
-l, --logfile [file] Write to a logfile
(Default is /var/log/rkhunter.log)
--noappend-log Do not append to the logfile, overwrite it
--nocolors Use black and white output
--nolog Do not write to a logfile
--nomow, --no-mail-on-warning Do not send a message if warnings occur
--ns, --nosummary Do not show the summary of check results
--novl, --no-verbose-logging No verbose logging
--pkgmgr {RPM | DPKG | BSD | Use the specified package manager to obtain or
NONE} verify file hash values. (Default is NONE)
--propupd Update the file properties database
-q, --quiet Quiet mode (no output at all)
--rwo, --report-warnings-only Show only warning messages
-r, --rootdir Use the specified root directory
--sk, --skip-keypress Don't wait for a keypress after each test
--summary Show the summary of system check results
(This is the default)
--syslog [facility.priority] Log the check start and finish times to syslog
(Default level is authpriv.notice)
--tmpdir Use the specified temporary directory
--update Check for updates to database files
--vl, --verbose-logging Use verbose logging (on by default)
-V, --version Display the version number, then exit
--versioncheck Check for latest version of program
-x, --autox Automatically detect if X is in use
-X, --no-autox Do not automatically detect if X is in use


まあ、普通に使う分にはアップデートしてチェックって流れがほとんどだと思いますけど、Warningだけ表示なんてのもおkですね。

ただこれ両方とも「疑わしいものを検出する」ってだけなので、その後の処理は自分でやらなきゃいけないです。(そういやClamavも除去は自分でry
なので、怪しいとこが出てきたらそのファイルなりプログラムなりがいつ入れて、いつ自分がアクセスして、いつどのようにいじって、どういう使い方してたのかくらいのことを軽く調べて黒だと判断したら削除なり再インストールなりする感じですね。
うーん。まだ俺も分かってないとこたくさんあったりするんですがw
気になる人は一度調べてみるといいでしょう。

参考
rootkitによるハッキングとその防御 (ITmedia)

関連記事
Ubuntuのセキュリティ対策
Firestarterの起動エラー
Ubuntuでclamavアップデートが・・・
FireStarterでUbuntuのFirewallを細かく設定してみる
AVG for Linux ってどーよ?
じゃあAvast!for Linuxはどうよ?
F-prot for Linuxはどう?
64ビットLinuxカーネル脆弱性がみつかったらしく。Ksplice Uptrackでチェック。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

ブログ内検索

カスタム検索

フリーエリア

クリックで救える命がある。

レンタルサーバー

さくらのマネージドサーバ
さくらインターネットのVPS
ConoHaのVPS
WebARENA VPSクラウド
99円レンタルサーバー
【CloudCore VPS】
GMOクラウドのレンタルサーバー
転送量無制限 ABLENET
@WAPPYレンタルサーバー
SPPDレンタルサーバー

カテゴリー+月別アーカイブ

 

アクセスカウンター

現在の閲覧者数:

プロフィール

tmin

Author:tmin
PCヲタ。ライト2ちゃんねら。
スロット好きのギャンブラー。(元
むしろ人生がギャンブルだが目下のところ負けっぱなし。
座右の銘は「結果オーライ」。故に基本適当。
トラブルもまた楽しみのひとつ

コメント、トラバ、相互リンク歓迎。お気軽にどうぞ。
当ブログについて
Twitterでこっちとあっちの更新情報流すことにしてみます。
http://twitter.com/t_min
Project Mikunchu♪Wikiできました。
Mikunchu200x40.png