正当なファイルをRootkit Hunterが検出したときの対処方法

Raspberry Pi

約 7 分で読めます。



ルートキット検出ツールRootkit Hunterを入れ、数日経過したら以下のメールが来てました。



調べた感じ、これらはルートキットではなく正当にシステムに組み込まれたファイルでした。

自分はRootkit Hunterによるスキャンを毎日実行しているのですが、毎日ムダに誤検出メールが来るのを避けたいので、ホワイトリスト設定しました。
今回はその内容を紹介します。



Rootkit Hunterをまだ入れていない、Rootkit Hunter自体に興味がある方はこちらをどうぞ。

Found preloaded shared library:

結論から言うと、以下の通り設定します。

sudo vim /etc/rkhunter.conf

# rkhunter.confに以下を追記
SHARED_LIB_WHITELIST=/usr/lib/arm-linux-gnueabihf/libarmmem-${PLATFORM}.so



当初、${PLATFORM}は環境変数なので、SHARED_LIB_WHITELISTに指定する名前は実際のファイル名かと思い、以下の通り調べて設定してみたけど効果がありませんでした。

# 実際のファイル名を調べる
ls -l /usr/lib/arm-linux-gnueabihf/libarmmem-*.so
lrwxrwxrwx 1 root root    16 Apr 30  2019 /usr/lib/arm-linux-gnueabihf/libarmmem-aarch64.so -> libarmmem-v7l.so
-rw-r--r-- 1 root root  9512 Apr 30  2019 /usr/lib/arm-linux-gnueabihf/libarmmem-v6l.so
-rw-r--r-- 1 root root 17708 Apr 30  2019 /usr/lib/arm-linux-gnueabihf/libarmmem-v7l.so
lrwxrwxrwx 1 root root    16 Apr 30  2019 /usr/lib/arm-linux-gnueabihf/libarmmem-v8l.so -> libarmmem-v7l.so

# 以下をrkhunter.confに設定
SHARED_LIB_WHITELIST=/usr/lib/arm-linux-gnueabihf/libarmmem-aarch64.so
SHARED_LIB_WHITELIST=/usr/lib/arm-linux-gnueabihf/libarmmem-v6l.so
SHARED_LIB_WHITELIST=/usr/lib/arm-linux-gnueabihf/libarmmem-v7l.so
SHARED_LIB_WHITELIST=/usr/lib/arm-linux-gnueabihf/libarmmem-v8l.so



ということで、環境変数そのままのファイル名で指定してみたら警告が出なくなりました。

The command … has been replaced by a script:

rkhunter.confに以下の通り設定します。

sudo nvim /etc/rkhunter.conf

# rkhunter.confに以下を追記
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which



egrep, fgrep, whichがスクリプトだよ、と言われているので、実際に問題なのか確認します。
結果的には確かにスクリプトだけど、中身は問題なさそうです。

cat /usr/bin/egrep 
#!/bin/sh
exec grep -E "$@"

cat /usr/bin/fgrep 
#!/bin/sh
exec grep -F "$@"

cat /usr/bin/which
#! /bin/sh
set -ef

if test -n "$KSH_VERSION"; then
        puts() {
                print -r -- "$*"
        }
else
        puts() {
                printf '%s\n' "$*"
        }
fi
(略)



Hidden file found:

/etc/.fstabファイルが隠しファイルだよ、と指摘されています。
一応中身を確認。

cat /etc/.fstab 
proc            /proc           proc    defaults          0       0
PARTUUID=0d91114b-01  /boot           vfat    defaults          0       2
PARTUUID=0d91114b-02  /               ext4    defaults,noatime  0       1



問題なさそうなので、これもホワイトリストに入れます。

sudo nvim /etc/rkhunter.conf

# rkhunter.confに以下を追記
ALLOWHIDDENFILE=/etc/.fstab



sshdなどが新たに検出された件を書く

これで一安心…と思ったらこんなメールが来るようになりました。
 sshd/sshが変更されているが?とのこと。



これについてはよくわかっていませんので、引き続き対応していきます。
 Ver.upしたらファイルサイズやinodeが変わるのは普通なので、どう連携させるか。
 WHITELISTに入れることはできるが、根本解決になっていない。

終わりに

いかがでしたか。

sshdの件で毎日メールが来るのは地味にうざいので、今後対応していきます!

Comments

タイトルとURLをコピーしました