なんだこれは

はてなダイアリーから移転しました。

今日は検査してやった。

Mac

最近、ぞんざいに扱っていたので、バックアップをとってしたい放題やってみることにした。

バックアップ

とりあえず、ホームディレクトリのバックアップを取るべきなんだろうが、iTunes/Libraryが大きくなったので、そこはもういいことにして他をMOにとった。殆どがCDのコピーだし。それから、インストールしたソフトのdmg等をバックアップ。

転送が遅い、遅いよ。

転送の合間に、いろいろ見ていてrootkitのcheckerを見つけておいた。フリー。UNIX類似OS+sh*1が必要らしい。cshは不可。

rootkit hunter

Mac OSX 10.4.3に対応しているそうだ。人柱ありがとう。*2

rkhunter-1.2.7.tar.gzがrootkit hunterの最新版。本家はここ。http://www.rootkit.nl/から落としたはず。rootkitだけではなく、バックドアやローカルの悪用も検査できる。らしい。

インストール

インストールはroot権限がいる。端末で

tar -zxpf rkhunter-1.2.7.tar.gz
cd rkhunter
sudo ./installer.sh

すると、いろいろ自身でcheckしながら、/usr/local/bin/にrkhunterがインストールされる。

実行

基本形はこれ。

sudo /usr/local/bin/rkhunter option1 ...

オプションはいろいろ。

全部チェックは-c 、記録*3をつけるは --createlogfile 途中の入力を飛ばすは --skip-keypress ヘルプは -h ぐらいか。

sudo /usr/local/bin/rkhunter -c --createlogfile

で検査した。カラー出力するのに驚いた。先に進むためにリターンの入力がいる。邪魔臭かったら--skip-keypressをつけておく。

結果

rootkit、backdoor、LKMs、wormはなかったので安心。ただし、コイツは設定のチェックまでしてくれるのだ。変な隠しファイルがありますよ。といわれるそれは.DS_StoreでこれはFinderが自動で作るヤツね。それから、SSHでv1はもう使えない方がいいよとか、OpenSSL 0.9.7iとOpenSSH 4.1p1*4のバージョンがよくわからんと言われる。

むむ、対応しとるんじゃないのかと考え、--updateオプションでupdate機能を試してみると、Mac OSXにはwgetがありませんで、VersionUpは無理でした。

後味が悪いので、もう一つも試してみる。

chkrootkit

こっちの方が有名。これも0.46aからMacOSX対応だ。MacOSXにはwgetが無いか
curlで落としてしまう。

curl -O ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.46a

ここでREADMEに従って、sudo make senseとするとコンパイルで失敗する。Makefile内にMacOSXは#を外せと書いてあるので、vi Makefileで編集してから、sudo make senseとする。これで作業したところにchkrootkitができる。

検査

いろいろ検査方法があるようだけど、一番簡単なものを試す。

sudo ./chkrootkit

rootkitの類いはないようだ。問題無し。標準出力が多いので気をつけること。

*1:Bashとか

*2:開発元には10.3.8に対応とあるけど、10.4 に対応とは書いてない。

*3:/var/log/rkhunter.log

*4:BSD UNIXだから仕方ないんよ