LinuxはWindowsよりもマルウェアへの耐性が強いことがわかっており、ウイルス感染についてはとりわけその傾向が強い。だが、リモートエクスプロイトによってワーム、トロイの木馬、ルートキットの影響を受けやすくなってしまう点は、ほかのどんなプラットフォームとも同じだ。最近のニュースで話題(翻訳記事)になったLinux/Apacheサーバでの障害発生の責任が、セキュリティ上の影響を被ったサイトを訪れてマルウェアに感染したWindowsユーザにあるとしても、これを機にLinuxのデスクトップおよびSOHOユーザ向けの優れたルートキット(rootkit)/マルウェア検出ツールを紹介しておくのも悪くないだろう。そこで本稿では、特によく知られている3つのツール、Chkrootkit、Rootkit Hunter、Ossecを簡単に比較する。
Chkrootkit
Chkrootkitは、さまざまな方法でシステムの整合性をチェックするスクリプトおよびプログラムの集まりだ。最新のバージョンは2007年12月にリリースされた0.48で、すぐにでもダウンロードして、インストールと実行ができる。
ダウンロードしたファイルを展開し、展開先のディレクトリに移動して、「make sense」と入力する。すると同じディレクトリに実行ファイルが作られるので、rootで実行すればよい。Ubuntuであれば、インストール先のディレクトリで「sudo ./chkrootkit」と入力するだけだ。
オプションなしで実行すると、用意されているすべてのテストが行われる。特定のテストだけに関心がある場合は、オプションの指定によってそれらだけを実行できる。実施可能なテストの一覧を表示するには「./chkrootkit -l」とする。また、たとえばslapperのテストだけを行いたければ、「./chkrootkit slapper」とする。
私のデスクトップシステムでは、Chkrootkitをオプションの引数なしで実行するのに15秒かかり、115行ほどの出力結果が得られた。「-q」オプションを使えば、テスト結果の出力を制限することができる。それで実行が速くなることはないが、問題を示唆する出力や、疑わしい部分だけが表示される。
そうした方法にあきたらず、Chkrootkitによる解析内容を自分でチェックしたければ、「-x」オプションを使ってエキスパートモードで実行するとよい。ただし、私のシステムだと出力結果が30,000行近くにもなったので注意が必要だ。