ルートキットとは、コンピュータの管理者権限を奪取して、攻撃者の侵入を支援するプログラム群のことを指しま
す。これに冒されてしまうと検出や除去は困難で、OS のインストール直後にルートキット対策ソフトを導入する、ルートキットを侵入させないといった対策が必要です。最も効果的な対策は、感染の疑いがあるコンピュータをシャットダウンし、ルートキット対策ソフトを収めた CD などの外部メディアから検出を行うことです。より詳しく知りたい方は、
ルートキットの正体を暴く - ITProをご覧ください。
ルートキットは次のようなことをします:
- 侵入のための入り口(バックドア)を作る
- 動作中のプロセス・ファイル・ポート・ユーザーアカウントなどを隠蔽する
- システムログを改ざんして侵入を隠蔽する
- 改ざんされたシステムコマンド(例えば、実行中のプロセスをマルウェアのものを除いて表示するコマンドなど)をインストールする(やや古)
Ubuntu でのルートキット検出は、
rkhunter や
chkrootkit というソフトウェアを使って行ないます。どちらも Ubuntu ソフトウェアセンターから入手できるので、右上の検索ボックスに "
rkhunter"、"
chkrootkit" と入力して検索してください。
インストールが完了してもメニューに現れるわけではなく、
端末内でコマンドとして使用します。
- パネルからアプリケーション〉アクセサリ〉端末と選択します。
- rkhunter は rkhunter -c、chkrootkit は chkrootkit と実行します。
- [BAD]や[INFECTED]と表示されなければ安全です。
しかし、rkhunter や chkrootkit には除去の機能は無いようで…あとは自分でどうにかしろということでしょうか。
