<   2007年 06月 ( 1 )   > この月の画像一覧

43:Rootkit Hunterというスグレモノ!

 セキュリティはどういう世界でも必要である。特にネットの世界では常備完備体制でないと大変なことになる。このブログの数少ない読者の方もいろいろなセキュリティソフトを常駐させて、またプロバイダ経由でセキュリティソフトを起動させておられることだろう。
 幸いMacには悪意のあるウィルスソフトは少ない。コンピュータを明らかに改ざんしたり、ヘンなプログラムが走ったりすることは目に見えてはない。どっかのウェブページで見たのだが、ウィルスソフトはその挙動もしくはどういったことを行うソフトであるかわかっているウィルスはウィルスではない…と偉い人が言っていた。確かに「このファイルを実行すればカーネルがブッ壊れる」って解ってるのにダブルクリックするおバカさんはいないと思う。
 大半のウィルスはこのように簡単な自己防衛で対処できるモノだ。困るのは簡単にいかないモノ…スパイウェアやマルウェアが代表的だが、私が一番コワいのがハッキング…コンピュータへの進入、そして乗っ取り…(怖)。
 一番てっとり早い対策法はネットにつながない…だが、本末転倒なので却下。
まず、コンピュータに進入するには、その持ち主に悟られないようにしなければならない。「こんちわ〜」なんて陽気で礼儀正しいハッカー(実際はそんな悪い人の名称ではないそうだ)なんていやしない。
 進入するには入り口が必要である。これが「ポート」と呼ばれている通信の出入り口である。このポートはいろいろなトコにつながっていて、それもほとんど「プリンタはこのポート」という具合に統制されている。
通常、このポートの開閉や出入りには管理者(持ち主)の権限が必要で、簡単に他人は通行(?)出来ない。
 しかし!管理者権限を超える権限が存在する。「Root権限」と呼ばれる絶対権限である。どうやって使うのかはよく解らないので詳しくは他の解説本やWebを参照して貰いたいが、とにかくこのRoot権限で進入してくるわけである。
しかしRoot権限があるからといって大腕振って進入しても相手にばれてしまう。
そこでこのRoot権限でポートに進入する形跡を隠すわけだ。これが「Rootkit」と呼ばれるモノである。Rootkitはいわゆる泥棒の片棒を担ぐトンでもない野郎なのだ。この「Rootkit」の有無で進入されたかどうか解ってしまうわけだ。
 この「Rootkit」の野郎を探し出してくれるのが今回紹介する「Rootkit Hunter」である。

 このソフトは通常のアプリケーションではなく、ターミナルでコマンド操作する。私も別にコマンド操作が得意な方ではないが、やり方を紙にでも書いていれば誰でもできる。
 使ってみるとダーッとコマンドが走るので「おおっ!すげ〜!」と超興奮、そしてOKの文字が表示されると安心してしまう。これだけで安心してしまってはいけないと思うのだが、まぁナニもしないよりはマシであろう。

 それでは詳しく取り扱いを説明しよう。おっとその前にコンピュータに詳しい方は他の説明サイトを参照された方が良いかも知れない。そのサイト等でどうも解りづらい人やまったく自信のない人向けに書いていくことにする。

インストール。
1.まず、Rootkit Hunterの公式サイトに向かう。といっても歩いてくわけではない。
  http://www.rootkit.nl/projects/rootkit_hunter.html
  サイトの下の方にある「Downloads」から1.2.9 Latest release (rkhunter-1.2.9.tar.gz) をクリックして本体を入手する。ちなみに「1.2.9」は最新版が表示されている。現時点では「1.2.9」である。

2.ダウンロードした本体「rkhunter-1.2.9.tar.gz」を解凍する。ダブルクリックでOK。

3.解凍された本体をディスクトップに置く。他のディレクトリ(フォルダ)ではこれから説明する通りの操作では出来ないので注意!

4.ターミナルを起動する。(Macintosh HD→アプリケーション→ユーティリティ)

5. OSのバージョンによって表示が若干異なるが、最後の「ユーザー名$」の次からコマンドを入力する。
  ユーザー名$ cd /Users/ユーザー名/Desktop/rkhunter (スペースもちゃんと空けて)

6.returnキーを押して次のコマンド
  ユーザー名$ ./installer.sh

7.returnキーでダダ〜っとログが表示され、入力画面(ユーザー名$が出る)に戻るとインストール終了。

注:途中、パスワードが要求される。このターミナルのパスワード入力中はカーソルが動いたり、「*」表示などは一切ないが、ちゃんと入力されているので普通に入力。

続いて使用法。
1.インストールと同じようにターミナルを起動させてコマンド入力。
  ユーザー名$ sudo /usr/local/bin/rkhunter ーc ーーcreatelogfile
   (上の「ー」は見やすいように全角表示しています。入力はもちろん半角英数で!)

2.returnキーを押すとパスワードの要求、入力してまたreturnキーを押す。

3.ダダ〜っと検索結果が表示される。途中returnキーの要求ログが出るので、迷わずreturnキーを押す!(いわゆる対話形式ということでの要求なのだが、英語なのでさっぱりわからんのでココはサラッとreturnキーを押す。)

4.すべての検索が終わったら結果報告のログと「ユーザー名$」の表示で終わる。

5.結果の見方は、緑色が異常なし、黄色が注意、赤色がヤバい、ってことだ。

対処法。
 不幸にもポートに赤色の「warning!」や「BAD」が表示されていたら…残念ながらRootkitがあるということでヤバいらしい。その対処法は、これまた残念ながら再インストールしかないそうだ。詳しい人であればバックアップをとってどの箇所がヤバいのかわかるが、そんなことどうでもいい!とにかくこのヤバい状態をどうにかしてくれ!って人はとにかくネットを切断、再インストールである。そして身に覚えのある有害サイト等には二度とつながないことである。
 実際は最後の方のapplicationのところで赤色表示が出たりするが、私の経験上ソコのところは大丈夫らしい。
 上の方、つまり始めの方のポートではまだ出たことがないのでどういうことが起きるのか私もわからないが、もし赤色が出たらすぐにコンピュータをネットから切断すること!

 もし興味がある方は一度ホームを見てもらいたい。日本語訳も用意されているので安心だ。
 そしてここは強く言いたい!!   フリーウェアである。
Rootkit Hunter/FAQ 日本語版
http://pocketstudio.jp/linux/?Rootkit%20Hunter%2FFAQ%20%C6%FC%CB%DC%B8%EC%C8%C7
[PR]

by tadapymac | 2007-06-02 00:38 | Mac | Trackback(2) | Comments(0)