Rootkit

2019年1月1日 最終更新日時 : 2019年10月31日 hasegawa

Rootkitの監視を行います。機器にログインし、一般的なRootkitが仕込まれていないかの監視が可能です。
また、監視するファイルの指定を変更する事も可能ですので、RootKitに限らずにある特定のファイルが存在した時点で障害として検知したい場合等にも使用する事が可能です。

設定方法

ウェブGUIよりRootKit監視設定の入力フィールドにセミコロン区切りで監視したいファイルをフルパスで入力するだけです。

  • RootKitは仕込まれるとサーバ内のコマンドシェルを書き換えるという事を行う可能性が高いので、RootKitの監視の際には「リスト→サーバ設定(一覧)→サーバ接続情報設定画面」内の「コマンドの自動コピー」で コマンドシェルをコピーしておく事をお勧めします。これをおこなうと、PatrolClariceで使用しているコマンド群を PatrolClariceのログインユーザ直下にコピーし、監視時にはそのコマンドを使用します。こうする事により、RootKitからのコマンド書き換えにも対応可能です。

障害の判断

  • 35秒以内に応答が無かった場合
  • 接続エラーが発生した場合
  • 指定したファイルが存在していた場合
  • その他、「エラーコード一覧」のエラー内容を参照して下さい。

その他特徴

  • 分類:内部監視
  • 監視テスト:実行不可能
  • リカバリ確認モードへの移行:不可能
  • グラフ:レスポンスタイムグラフ

対応OS

ポイント数:1

RHWINSolAIXFree
BSD		vmAWSetc
××××
監視の種類
内部監視
監視項目
セキュリティ監視
Winログ詳細
プロセス