不正アクセスーrootkitについてー環境情報学部３年櫻井美帆 rootkit １コンピュータシステムに不正アクセスするために、再アクセスを容易にするためのツール rootkit ２ログインの記録を書き換える機能コマンドファイルの置き換えや改竄ネットワークスニファバックドアなどのツールがまとめられているもの rootkitの種類・t0rnkit ・lkmrootkit（knark）・NT rootkit rootkitに汚染されるとシステム管理者は正しいシステム情報を得ることができない！！不正アクセスを受けたコンピュータ不正アクセスを受けたコンピュータは重要なデータを扱っていなくても、また、コンピュータ自身がそれほど重要でなくても、放置してはいけない！！使えるツール不正アクセスの検出、またはその事実の確認のためにいろいろなツールが使われる chkrootkit iplog snort kstat alamo Tripwire tct chkrootkit rootkitやワームの検出や、ネットワークインターフェイスがプロミスキャスモードになっていないか、ログファイルは改竄されていないか、隠蔽されているプロセスはないか、といった項目をチェックする iplog iplogはネットワーク上を流れるパケットの通信元/通信先それぞれのIPアドレスとポートを記録することのできるツール snort snortはネットワーク上を流れるデータを監視し、あらかじめルールに記述されたデータパターンを持つトラフィックとマッチしたものを、ルールの指示に従って、アラート/記録/無視などの処理を行う kstat kstatはLinuxシステム上のlkmによる改竄を検出する alamo alamoは、システムコールテーブルのエントリsys_getdentsを乗っ取り、元の sys_getdentsの機能を復元する Tripwire システムの整合性をチェックするためのツールで、これを使うことで、バックドアや rootkitの検出とシステムの復旧を迅速に行うことができる TCT 不正アクセスを許してしまったコンピュータにおける、情報の収集/記録/分析を可能な限り自動化するために開発された forensicツール不正アクセスされてしまうと OSの再インストールユーザアカウントの初期化アプリケーションの再インストールなどが必要となる不正アクセスに備えて攻撃/侵入行為を防ぐログ、コマンドの改竄を防ぐバックドアの設置を防ぐカーネルレベルでの改竄を防ぐネットワークの盗聴を防ぐ踏み台による他コンピュータへの攻撃を防ぐ