(OSいじりちうの備忘録です<文脈・誤字不問です~ ^^)
Ubuntu-Sever 16.04 LTSをインストールしたBxbt-2807で、chkrootkitを実行した結果、下記の1行をみつけました。
「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」
「Eburyっていう(ssh関連の)Rootkitがしこまれたよ」?
ぐぐってみると、「chkrootkitのバグ・誤報」って情報が溢れています。
でも、なぜか英語の情報ばっかりだわ。。。。。><
気になるので、ステップを追ってUbuntu-Sever 16.04 LTSをクリーンインストールし直してみます。
(↑ OSいじり遊びの理由ができた~~ ^^)
1)正規urlからダウンロードしたimgファイルで、CDを使用して最小構成をインストール
Openssh-server、Standard systemもインストール対象からはずしておきます。
2)sudo apt-get update, sudo apt-get upgrade で、OSをUpdateしておきます。
kept-backが出ているので、sudo apt-get dist-upgrade
3)rootのパスワードを変更しておきます。
sudo passwd root
4)ufw をインストールして、すべてのポートを閉じておきます。(自宅サーバーなので)
sudo ufw disable
sudo ufw default DENY
sudo ufw enable
5)chkrootkitをインストールし、実行
sudo apt-get install chkrootkit
sudo chkrootkit
お~~、もうこの段階で以下の警報がでています。
「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」
変な所へは接続していませんし、ポートも閉じていますので、5分ほどの間にrootkitが仕込まれたとは考えにくいですよね。
やっぱりchkrootkitのバグですね~。
どうも、 chkrootkitのサポートは休止しているみたいで、改善されないみたいです。
6)nano, openssh-serverをインスト
sudo apt-get install openssh-server
sudo apt-get install nano
sudo nano /etc/ssh/sshd_config で、使用ポート22を「xxxxx」にし、
PermitRootLogin no に変更
ufwで、変更したポートをLan内の特定機からのみに開いておきます。
sudo ufw allow from 192.168.**.** to any port xxxxx
7)chkrootkitの代わりに、rkhunterをインストールします。
sudo apt-get install rkhunter
使用方法
sudo rkhunter --update 更新
sudo rkhunter --propupd File-properties-data更新、OSupdate/upgrade時に必要
sudo rkhunter -c チェック実行
scanしてみましたが、rkhunterは「異常なし」でオールグリーンです^^)
No warnings were found while checking the system.
8)あと、以下のものを順次インストールしていきます。
lsof, aptitude, bash-completion, lm-sensors, screen, dnsutils, mono-complete,
exim4, logwatch
9)rkhunterで、File-properties-data更新後に再チェック
sudo rkhunter --propupd File-properties-data更新
sudo rkhunter -c チェック実行
10)Opensimを入れて、運転開始
ここで、rkhunterのscan経過をSSで追ってみます。
まず、File-propertiesのチェック結果画面
OSのupgradeや新規パッケージのインストロール後にrkhunterを作動させると、ここに警報が出る場合があります。
「sudo rkhunter --propupd File-properties-data更新」の実行が必要になります。
次は心臓部のrootkit検査中の画面
NetworkやLocal-hostの設定状態もチェックしてくれています。
最後は総合結果の表示です。
OpenSim立ち上げ後にscanしてみると警報がでました。
「sudo nano /var/log/rkhunter.log」でログファイルを調べてみると、
Performing filesystem checks
[07:33:58] Warning: Suspicious file types found in /dev:
[07:33:58] /dev/shm/mono.15209: data
ファイル形式がちと変わっていますが、Opensimでmonoが実行中にramdisk領域(tmpfs)に作成される一時ファイルです。15209の部分がいろいろ変化します。
OpenSimを停止させると、このファイルは無くなりますね。
安全だろうと勝手に思い込んで、rkhunter設定ファイルを編集
$ sudo nano /etc/rkhunter.confに以下を追記して安全定義しました。。。^^)
ALLOWDEVFILE=/dev/shm/mono.*
さて、大丈夫かな~?<< もう少し遊べそう・・・・
0 件のコメント:
コメントを投稿