bindshell chkrootkit warning
un saluto a tutta la lista :)
ho un piccolo server (debian lenny @ 2.6.26-2-686) lamp che uso per
alcuni test al quale ho recentemente aggiunto anche un server ftp
(proftp), ho un cron che schedula una scansione del sistema mediante
rkhunter e chkrootkit
leggendo il log di chkrootkit è saltato fuori questo warning
Checking `bindshell'... INFECTED (PORTS: 1008)
anche se rkhunter non ha rilevato nulla mi sono un tantino allarmato e
ho controllato la porta in questione, lsof stampa questo risultato
# lsof -i -P | grep 1008
rpc.statd 2104 statd 5u IPv4 4821 UDP *:1008
ora non sono propriamente un esperto ma rcp.statd è un servizio legato
a nfs se non sbaglio, posso considerare il warning di chkrootkit come
un falso positivo o mi conviene fare altri test? e nel caso in cui
sia necessario farne come posso muovermi?
grazie anticipatamente per ogni eventuale risposta.
alessio.
Reply to: