wp-cli を入れると rkhunter で RH-Sharpe’s Rootkit が検出される



WordPress をコマンドラインから管理、操作できるツール wp-cli は便利です。

しかし、CentOS に wp-cli を入れた後、ルートキット検出ツールの RootKit Hunter (rkhunter) で Warning が出るようになりました。

これは rkhunter が /usr/bin/wp というパスのファイルがあるかどうかだけで判定しているために起こります。試しに touch コマンドで空ファイルを作るだけでも引っかかるようになります。なので False Positive と考えて良いでしょう。

回避方法

方法の一つは wp-cli を /usr/bin/ 以外の場所にインストールすること。 たとえば /bin/wp とするか、 /usr/local/bin/wp としてしまえばこの問題はありません。しかし RPM から入れていたりするとこのような回避方法では運用上の都合が悪いことがあります。

もう一つは /etc/rkhunter.conf でホワイトリストに追加することです。

このとき、EXISTWHITELIST や SCRIPTWHITELIST ではなく、RTKT_FILE_WHITELIST に書くことがポイントです。

rkhunter.conf を変更したら rkhunter --propupd をしましょう。

追記(2019-03-23)

EPEL の wp-cli-2.1.0-1.el6 では、コマンドのパスが /usr/bin/wp-cli に変更されました。そのため rkhunter の誤検出は起きなくなりました。 RTKT_FILE_WHITELIST に設定を書いていた場合は削除する必要があります。


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


  • キュア子の紹介

人気記事ランキング