useless tips

diary

vine 2.6 に chkrootkit を 入れてみる。(注)
下の page を 参考に しました、感謝。
http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html
http://pocketstudio.jp/linux/?chkrootkit%20README%20%C6%FC%CB%DC%B8%EC%CC%F5
まず apt-get を 使って chkrootkit を インストール。

$ sudo apt-get update

password:

$ sudo apt-get install chkrootkit
floppy を 1枚、準備しておく。
chkrootkit に 必要な コマンド類の 格納場所を 調べ、cmd という ディレクトリを 作成して、そこに copy する。
$ mkdir cmd

$ which awk cut echo egrep find head id ls netstat ps sed strings uname
alias ls='ls -F -color=auto'

    /bin/ls

/bin/awk

/bin/cut

/bin/echo

/bin/egrep

/usr/bin/find

/usr/bin/head

/usr/bin/id

/bin/netstat

/bin/ps

/bin/sed

/usr/bin/strings

/bin/uname
このうち awk と egrep は、別の コマンドの リンクファイルです。
$ cd /bin

$ ls -al | grep awk

lrwxrwxrwx  1  root  root  ... awk -> gawk*

$ ls -al | grep egrep

lrwxrwxrwx  1  root  root  ... egrep -> grep*

$ cd

$ pwd

/home/ユーザ名

各コマンドを cmd ディレクトリへ copy。
$ su

password:

# cp -R /bin/ls cmd/

# cp -R /bin/gawk cmd/

# cp -R /bin/cut cmd/

# cp -R /bin/echo cmd/

# cp -R /bin/grep cmd/

# cp -R /usr/bin/find cmd/

# cp -R /usr/bin/head cmd/

# cp -R /usr/bin/id cmd/

# cp -R /bin/netstat cmd/

# cp -R /bin/ps cmd/

# cp -R /bin/sed cmd/

# cp -R /usr/bin/strings cmd/

# cp -R /bin/uname cmd/

# su ユーザ名

$
いちいち copy するのは 大変そうだけど、矢印キーの ↑ の ボタンを 使えば、それほどでもない ... と 思う。
cmd ディレクトリの サイズを 調べる。
$ du cmd

680   cmd
floppy に 十分 格納できそう。
gawkawk に、grep を egrep に、それぞれ 名前を 変更。
$ cd cmd

$ su

Password:

# mv gawk awk

# mv grep egrep

# ls

awk cut echo egrep find head id ls netstat ps sed strings uname

# su ユーザ名

$ cd

$ pwd

/home/ユーザ名
chkrootkit の格納場所を 調べておく。
$ su

password:

# updatedb &

# su ユーザ名

$ locate chkrootkit

/usr/sbin/chkrootkit
ここで、floppy を セットして マウント。 cmd ディレクトリを floppy へ copy。
$ mount /mnt/floppy

$ su

password:

# cp -R cmd /mnt/floppy/
floppy にある コマンド類を 使って、chkrootkit が 作動するかを テスト。
# /usr/sbin/chkrootkit -p /mnt/floppy/cmd > test.txt

# su ユーザ名

$
floppy を アンマウント。 test ファイルに 書き込まれていれば、成功。
$ umount /mnt/floppy

$ su

passward:

# less test.txt

... (← q で 終了)

# su ユーザ名

$
あとは floppy を 取り出して、ラベルを 貼って 書き込めないよう 爪を 動かせば 終了。
(注) chkrootkit 本体を floppy に 格納して 実行させると、アンマウントが できないという 不具合が 起こるようです。
ほんとは、こんなこと してないで、マトリックスの 訳を 終わらせないと ダメなんだけど ... oLr
(追記) コマンドのうち、awk と egrep が うまく copy されていない。 もし リンクファイルであれば、実体が どこにあるかも 調べないと ... (訂正しました)


(さらに 追記) 別の オプションを つけるときは、次のように 指定、
# /usr/sbin/chkrootkit -p /mnt/floppy/cmd -q > test.txt
それと、さっき 気づいたけど コマンドの echo は 使わないみたい ... o ... Lr