[connect24h:01505] Re: Backdoor の対処メモ

[Sonoda Michio <sonodam@xxxxxxxxx>]

園田です。

>  > rootkitをrpmパッケージとしてインストールしていなかった場合、例えばソース 
>をコ
>>  ピーしてきてコンパイルしてファイル上書きされた場合はrpmデータベースに変化が
>>  無いと思いますが、いかがでしょうか？
>
>rpm -Va を実行すろと、パッケージインストールされたすべてのファイルについ
>て、インストール時の状態から変化していないかどうかを rpm データベースと
>比較して検証します。
>
>だから、ご指摘のように「ソースからコンパイル」したバイナリを「既存のファ
>イルに cp 等で上書き」の場合は MD5 チェックサム、ファイルサイズ等が
>rpm データベースに記録されている内容と異なっていますから検出可能です。

なるほど。ある意味TripWireみたいな機能を持っているわけですね。
ちょっと古めのrootkitだと、md5sumではなくただのsumを引き継げるファイルリプレ 
ースツールがあったようですけど、寡聞にしてmd5sumを引き継げるものがあるとは聞 
きません。仮に引き継げたとしても何種類かのチェックのどこかに引っかかれば、検 
出は可能ですね。
ちなみにそのチェックにはどんなものがあるか、などの情報は、
man rpm
等で調べられるのでしょうか？って自分で調べろ、という話ですね（苦笑）。
-- 
園田道夫
三菱事務機械株式会社  TEL:03-5611-5878  FAX:03-5611-5893
http://www.mom.co.jp/sec/