サーバー上のルートキットを手動で確認する方法

LinuxまたはSolarisサーバーでルートキットを検出する方法について、一般的なステップバイステップリストを持っている人はいますか？

ステップ1：問題のマシンをすべての通信チャネル（イーサネット、WiFi、Bluetooth、シリアル、Firewire、USB、オーディオケーブル、赤外線、パラレル）から切断します。電源ケーブル、キーボードケーブル、およびモニターケーブルのみを接続したままにします。 RFエミッションを校正済みRFスペクトラムアナライザで確認します。通信の切断を確認した場合にのみ続行してください。

9月2日：システムにCD-ROMまたはDVD-ROMドライブがあり、CD-ROMから起動できる場合は、既知のクリーンなシステムでコールドブートを準備するRAM攻撃CD-ROM 。それ以外の場合は、ステップ3に進みます。コールドブート攻撃用の無料で利用可能なツール： msramdump および Princeton 。

ステップ3：ステップ2でコールドブート攻撃ディスクを準備した場合、マシンの電源を切らないでください。ハードドライブを取り外します。各ドライブの接続が切断されているので、鮮やかな色のラベルを付けてください。ラベルには、「感染」、日時、削除元のシステムの名前を記載します。各ドライブを適切な保管コンテナに入れます。

ステップ4：ステップ2でコールドブート攻撃ディスクを準備しなかった場合は、ステップ6の前に行います。それ以外の場合は、コールドブート攻撃ディスクを挿入し、マシンを再起動します。 RAMの内容をキャプチャして、CD-RまたはDVD-Rに保存します。必ず、すべての記録のディスクをファイナライズしてください。RAM =マシンの電源を切ります。

ステップ5：別の正常なマシンでRAM=ダンプを分析します。実行可能ファイル形式の署名を確認します。ウイルスの署名を確認します。同じオペレーティングシステムを実行している既知の正常なマシンのダンプと比較してください。

ステップ6：分析システムで、自動マウント、自動再生、プラグアンドプレイ、または新しいドライブの検出時に動作するサービスを無効にします。感染したシステムからのドライブと同じ物理コネクタタイプの既知の正常なドライブを接続することにより、システムが新しいドライブの接続に対してアクションを実行しないことを確認します。感染したシステムに複数の物理接続タイプのドライブがある場合は、物理コネクタタイプごとに正常なドライブで分析システムをテストします。複数のドライブがある場合は、一度に1台のドライブのみを分析マシンに接続します。各ドライブのイメージを作成し、ドライブを適切なコンテナに保存します。

ステップ7：プライマリブートドライブのイメージの分析を開始します。静的分析を使用して、ブートシーケンスを確認します。ファイルのメタデータ構造や作成順序など、プライマリオペレーティングシステムの初期化コンポーネントで差分バイナリ分析を実行します。

ステップ8：セキュリティ上重要なライブラリの分析を開始します。

ステップ9：システム管理ツール、ログ、および構成ファイルの分析を開始します。

ステップ10：サービスとデーモンの分析を開始します。

ステップ11：アプリケーションの分析を開始します。

ステップ12：ユーザーファイルと残りのファイルの分析を開始します。

疑わしいファイルを探す場所は？

疑わしくないことが確認されるまで、すべてのファイルを疑わしいと見なす必要があります。

奇妙なファイルの動作を拾う検索コマンド？

侵害された可能性のあるマシンでコマンドを実行しないでください。システムが危険にさらされていると思われるとすぐに、すべての通信チャネルから切断する必要があります。システムがRAMへのコールドブート攻撃の候補にならない場合は、すぐに電源を切り、電源コードを取り外してください。

スニファーから拾った奇妙なトラフィック？

侵害された可能性のあるマシンでトラフィックを送受信しないでください。

重要なコマンドのファイルの整合性を確認して、信頼できるかどうかを確認しますか？

ファイルの整合性は、既知の良好なファイルの整合性データベースがある場合、読み取り専用ドライブイメージを使用して分析マシンでチェックできます。データベース内のすべてのファイルをチェックする必要があります。