[port139ml:02222] Re: Samhain に関するメモ

[Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx>]

てらしまです。

On Thu, 06 Feb 2003 11:19:00 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> >簡単に見つかりにくくするなら、ディレクトリ名、バイナリ名、設定ファイル名
> >をわかりにくい名前にするのがよいと思います。
> 
> tripwire という文字列を含むファイルを探索されると名前変えてあるだ
> けだとつらいんですよね(^^;;

ファイル名変更なんで、ちょっと凝った探し方されるとすぐに見つかりますね。

> ＃rootkit でかくしていても dd if=/dev/hda | grep tripwire とかで
> ＃発見できるんぢゃないっすか？コマンドライン適当なので正しくはど
> ＃う書くかわかりません(^^;; ひょとして strings の後に grep ？
> 
> オープンソース版なら全ての文字列を変更しておくということも可能だと
> 思いますが、商用だとコピーライトの文字列削れないですし...

伊原さんからファイル改ざん検知ツールを隠そうとすると大変ですね〜。
そうなると、サーバにはファイル改ざん検知ツール入れずに別なサーバに
ファイル転送してそこでチェックするとか、kernel moduleにファイル改ざんを
検知するような仕組みをいれるとかしないとダメですね。

前者はファイルシステム全体にチェックかけるのはつらいなどデメリットが
かなりあります。後者だと検査対象のファイルが書き換えられたときにリアル
タイムに検知できたり、いちいち検査対象ファイル全体をチェックしなくて
いいので、隠蔽したいときはいいんじゃないですかね。

-- 
Hiroaki TERASHIMA