Guide to Chkrootkit - checking for intruders
Chkrootkit คือโปรแกรมที่ใช้เพื่อตรวจสอบ Rootkit ต่างๆ ที่ผู้ไม่ประสงค์ดีจะแอบเอาขึ้นมาวางไว้บน Server เพื่อทำการยึด Server หรือทำการ DoS ดังนั้นคุณควรที่จะทำการติดตั้ง Chkrootkit ไว้บน Server ของคุณด้วย ตั้งแต่ออก Server มาวันแรกเลย
ลองมาดูวิธีติดตั้งกันครับ
ในบทความนี้ เราจะแนะนำการติดตั้ง และสั่งให้ทำการ Check ทุกวัน รวมถึงส่ง Report Email มายังผู้ดูแลระบบด้วยครับ
Installing CHKROOTKIT
Version 0.42b (Sept. 20 2003)
SSH เป็น admin เข้าไปที่ server. ไม่ใช้ Telnet นะครับ ปิดทิ้งไปได้เลย
su - เป็น root
พิมพ์คำสั่งดังนี้
wget
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gzอย่าลืม Check MD5 SUM หลังจากดาวน์โหลดมาแล้วด้วยนะครับ เพื่อความปลอดภัย:
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5md5sum chkrootkit.tar.gz
#ขยายไฟล์ที่ได้มาโดยใช้คำสั่ง
tar xvzf chkrootkit.tar.gz
#ย้ายตัวเองเข้าไปใน Folder ที่ขยายขึ้นมา
cd chkrootkit*
#Compile โปรแกรมโดยพิมพ์คำสั่ง
make sense
#เพื่อให้ chkrootkit ทำงาน พิมพ์คำสั่ง
./chkrootkit
#ทุกอย่างที่แสดงผลออกมา ควรจะเป็น ‘not found’ หรือ ‘not infected’…
สำคัญ: อาจเป็นไปได้ ถ้าคุณพบข้อความ ‘Checking `bindshell’… INFECTED (PORTS: 465)’
เนื่องมาจากมีการทำงานของ PortSentry/klaxon หรือ program อื่นๆ (ports 114/tcp, 465/tcp, 511/tcp, 1008/tcp, 1524/tcp, 1999/tcp, 3879/tcp, 4369/tcp, 5665/tcp, 10008/tcp, 12321/tcp, 23132/tcp, 27374/tcp, 29364/tcp, 31336/tcp, 31337/tcp, 45454/tcp, 47017/tcp, 47889/tcp, 60001/tcp).
#ต่อไป
cd ..
#ลบไฟล์ที่ download มา
rm chkrootkit.tar.gz
สั่งให้ทำ System Scan Auto พร้อมทั้งส่ง Email มายังผู้ดูแลระบบ
พิมพ์คำสั่งดังต่อไปนี้:
pico /etc/cron.daily/chkrootkit.sh
จะเป็นไฟล์ใหม่เกิดขึ้น ให้คุณเอาคำสั่งนี้ใส่เข้าไป:
#!/bin/bash
cd /yourinstallpath/chkrootkit-0.42b/
./chkrootkit | mail -s “Daily chkrootkit from Servername” admin@youremail.com
อย่าลืม:
1. แทนที่ ‘yourinstallpath’ ด้วย path ที่อยู่ของ Chkrootkit.
2. แทนที่ ‘Servername’ ด้วยชื่อ Server ของคุณ
3. แทนที่ ‘admin@youremail.com’ ด้วย email address ของคุณ
หลังจากนั้นให้ Save:
Ctrl+X แล้วพิมพ์ Y
สั่ง chmod 755 เพื่อให้ Script พร้อมทำงาน
chmod 755 /etc/cron.daily/chkrootkit.sh
ทีนี้ก็ลอง run Script นี้ดูครับ
cd /etc/cron.daily/
./chkrootkit.sh
คุณควรจะได้รับ Email จากระบบ เพื่อรายงานผลการ Scan
และ Script นี้จะทำงานทุกวัน โดยที่คุณไม่จำเป็นต้องสั่งเองอีก
เมื่อ Chkrootkit ทำงานอยู่บน Server ของคุณแล้ว คุณก็ควรที่จะเปิด Email ที่ส่งโดย Script นี้ทุกวันด้วย ว่ามีอะไรเปลี่ยนแปลงเกิดขึ้นบ้างหรือเปล่าครับ
หัวข้อ: การติดตั้ง Chkrootkit - cPanel Server (อ่าน 4070 ครั้ง)