wp-cli を入れると rkhunter で RH-Sharpe’s Rootkit が検出される

WordPress をコマンドラインから管理、操作できるツール wp-cli は便利です。

しかし、CentOS に wp-cli を入れた後、ルートキット検出ツールの RootKit Hunter (rkhunter) で Warning が出るようになりました。

これは rkhunter が /usr/bin/wp というパスのファイルがあるかどうかだけで判定しているために起こります。試しに touch コマンドで空ファイルを作るだけでも引っかかるようになります。なので False Positive と考えて良いでしょう。

回避方法

方法の一つは wp-cli を /usr/bin/ 以外の場所にインストールすること。 たとえば /bin/wp とするか、 /usr/local/bin/wp としてしまえばこの問題はありません。しかし RPM から入れていたりするとこのような回避方法では運用上の都合が悪いことがあります。

もう一つは /etc/rkhunter.conf でホワイトリストに追加することです。

このとき、EXISTWHITELIST や SCRIPTWHITELIST ではなく、RTKT_FILE_WHITELIST に書くことがポイントです。

rkhunter.conf を変更したら rkhunter --propupd をしましょう。

追記(2019-03-23)

CentOS 6 の EPEL の wp-cli-2.1.0-1.el6 では、コマンドのパスが /usr/bin/wp-cli に変更されました。そのため rkhunter の誤検出は起きなくなりました。 RTKT_FILE_WHITELIST に設定を書いていた場合は削除する必要があります。

追記(2022-12-24)

CentOS 7 では EPEL の wp-cli では、再びコマンドのパスが /usr/bin/wp となっているため上記の設定が必要でした。

ITエンジニア募集中！

キュアコード株式会社はITエンジニアを募集しております。少人数の職場なので、上流・下流やサーバー・クライアント対応の垣根なく、あなたの強みを活かしながら いろいろなことにチャレンジ可能です。エンジニアとしての未経験の方、経験が少ない方も歓迎しています。

下記よりITエンジニア募集の採用情報をご覧いただけます。