wp-cli を入れると rkhunter で RH-Sharpe’s Rootkit が検出される
WordPress をコマンドラインから管理、操作できるツール wp-cli は便利です。
しかし、CentOS に wp-cli を入れた後、ルートキット検出ツールの RootKit Hunter (rkhunter) で Warning が出るようになりました。
1 2 3 4 |
警告: RH-Sharpe's Rootkit [ 警告 ] ファイル「 /usr/bin/wp 」が見つかりました。 |
これは rkhunter が /usr/bin/wp というパスのファイルがあるかどうかだけで判定しているために起こります。試しに touch コマンドで空ファイルを作るだけでも引っかかるようになります。なので False Positive と考えて良いでしょう。
回避方法
方法の一つは wp-cli を /usr/bin/ 以外の場所にインストールすること。 たとえば /bin/wp とするか、 /usr/local/bin/wp としてしまえばこの問題はありません。しかし RPM から入れていたりするとこのような回避方法では運用上の都合が悪いことがあります。
もう一つは /etc/rkhunter.conf でホワイトリストに追加することです。
1 2 3 4 |
# rkhunter.conf RTKT_FILE_WHITELIST=/usr/bin/wp |
このとき、EXISTWHITELIST や SCRIPTWHITELIST ではなく、RTKT_FILE_WHITELIST に書くことがポイントです。
rkhunter.conf を変更したら rkhunter --propupd
をしましょう。
追記(2019-03-23)
EPEL の wp-cli-2.1.0-1.el6 では、コマンドのパスが /usr/bin/wp-cli に変更されました。そのため rkhunter の誤検出は起きなくなりました。 RTKT_FILE_WHITELIST に設定を書いていた場合は削除する必要があります。