先週・今週と忙しかった。なので先日、と思っていたらもう10日も前の「chkrootkit lkm」について。

# chkrootkit lkm
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

と出ると書いたのだが、そもそもこのチェックが何をやっているのかというと、どうやらprocfsとpsの出力を比べて、違いが無いか確認しているらしい。
で、当然この二つ（procfsとps）はatomicに実行出来ない（というか結構な時間が掛かる）ため、その間に普通にプロセスが開始されたり終了したりすれば、両者に違いが出て、それにより正常（rootkitがない）にも係らず先のメッセージが出るらしい。
とまぁ、何度やってもこのメッセージが出るとかじゃない限り正常（の可能性が高い）ということかな。そんなわけでないよりマシ的なチェックかも知れず。つーかprocfs偽装されたらだめなんだけどね。
で、そんなときにrkhunterが役立つかもしれないね。

後は余談。
ちょっと思いついたけど、rootkitにありがちなプロセス名ってあったりしないのかな？
というのもそういったプロセスを予め実行しておき、それらが見えなくなったらrootkitの可能性ありという検出方法ってどうよ？と思ったりしたので。
すでにあったりするのかな？