万が一サーバがクラックされてクラッカーにコマンドなどを改竄された場合,それを発見するためのチェックを行うツール.
- chkrootkit
- lsなどがrootkitに改竄されていないかを調べるシェルスクリプト
- ifpromisc.c
- インタフェイスがプロミスキャス(自分宛て以外も含む,全てのパケットを取り込む)モードになっていないか調べる
- chklastlog.c
- lastlogが削除されていないか調べる
- chkwtmp.c
- wtmpの記録が削除されていないか調べる
- check_wtmpx.c
- wtmpxの記録が削除されていないか調べる (Solarisのみ)
- chkproc.c
- LKMトロイ(カーネルモジュールとして動作するトロイの木馬)の形跡を調べる
- chkdirs.c
- LKMトロイの形跡を調べる
- strings.c
- 文字列置換のための簡易ツール
- chkutmp.c
- utmpの記録が削除されていないか調べる
なおrootkitとはクラッカーが使う,改竄済みバイナリファイルの詰め合わせキットの総称.