誤検知
3/5 のネタといえばネタだったんですが、ちょうど grin さんのところで書かれていたので書いちゃおう。
chkrootkitメモ
http://grin.flagbind.jp/archives/2005/03/chkrootkit.html
chkrootkit の使い方は簡単ですので、すぐに使うことができると思いますが、もし手元に「不正アクセス調査ガイド」があればそちらでも詳しく書かれています。
で、使う前によく考えておかないといけないのはツールがrootkitを「検知」した場合なんですよね。
例えば、先日のネタ(id:hideakii:20050225)ですが、あれは chkrootkit の誤検知でした。といっても、誤検知だと確認取るの大変ですやね、特に LKM rootkit が検知されてしまうと(笑)
オンラインで Kernel rootkit を相手に調査してもほとんど意味ない*1ですし、そもそも「誤検知」ですからねぇ、探してもなんもないんですよねorz
こいう場合、オフラインで*2(もしくはイメージを作って)コンピュータ・フォレンジックな技術で調査するとか、ネットワーク・フォレンジックでその rootkit が仕掛けられたと考えられる時間帯の通信を確認してみるとか必要になるわけです。