Re: chkrootkit

To: debian-user-catalan@lists.debian.org, llistadebiancat@ya.com
Subject: Re: chkrootkit
From: Jaume Sabater <jaume@argus.net>
Date: Mon, 9 May 2005 16:10:20 +0200
Message-id: <[🔎] 200505091610.20465.jaume@argus.net>
Reply-to: jaume@argus.net
In-reply-to: <200504290615.35180.llistadebiancat@ya.com>
References: <200504290615.35180.llistadebiancat@ya.com>

El Divendres 29 Abril 2005 06:15, rpb va escriure:
> Hola
> Vaig instalar chkrootkit i tinc uns correus preocupants, a veure si em
> podeu aclarir si es tracta d'una falsa alarma, o bé m'hauria de preocupar
> de debò... val a dir que els fitxers que esmenta sempre m'els he baixat de
> llocs fiables, o això penso, amb apt-get (rediris i debian.org), els
> paquets de java d'un lloc que s'em va recomanar des de la llista:
> ftp://ftp.oleane.net/pub/java-linux/debian/pool/j/j2se1.4-i586/j2re1.4_1.4.
>2.01-1_i386.deb
>
> Els correus:
>
> Subject: Anacron job 'cron.daily'
> /etc/cron.daily/chkrootkit:
>
> /usr/lib/j2se/1.4/jre/.systemPrefs
> +/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
> +/usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
> /usr/lib/blender/.Blanguages +/usr/lib/blender/.bfont.ttf
> /usr/lib/j2se/1.4/jre/.systemPrefs
> Warning:
> +`//home/usuari/programes/eclipse/workspace/.metadata/.plugins/org.eclipse.
>core +.resources/.history' is linked to another file
> INFECTED (PORTS:  600)

Coi, això no ho havia vist mai, però... corre'l manualment, a veure què et 
diu.

> Això de INFECTED fa por... No sempre és el mateix, en altres missatges, per
> exemple, surt
> INFECTED (PORTS:  1008)
>
> Unaltre cosa, està configurat per examinar particions NFS (per defecte, jo
> no vaig tocar res) però se m'hi denega el permís. En l'script veig que
> s'executa com usuari nobody, pot ser per això que el servidor li denega el
> permís? puc canviar l'usuari al meu usuari? (la xarxa és casolana i tinc el
> mateix usuari a totes les màquines), o més val que no toqui res? Els
> missatges:

Potser vols "navegar" per la unitat nfs com a root? si és així hauràs d'afegir 
"no_root_squash" a les opcions del /etc/exports del servidor.

> /usr/bin/find: //mnt/servidor/Documents: Permission denied
> /usr/bin/find: //mnt/servidor/.spamassassin: Permission denied
> /usr/bin/find: //mnt/servidor/.gnome2_private: Permission denied
> /usr/bin/find: //mnt/servidor/.mozilla: Permission denied
> /usr/bin/find: //mnt/servidor/.gconfd: Permission denied
>
> etc, etc, etc...
>
> Gràcies
>
> Ricard

-- 
:: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: 
:: Jaume Sabater
:: administrador de sistemes
:: jaume@argus.net

  argus.net TECNOLOGIA CREATIVA 
  "creant en la web des de 1995"

  www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | info@argus.net
  Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona

Reply to:

Prev by Date: Activitats contra patents de programari. Esmenes a JURI, seminaris, conferències...
Next by Date: Re: D'INTERES GENERAL. Mesures antispam.
Previous by thread: Activitats contra patents de programari. Esmenes a JURI, seminaris, conferències...
Next by thread: (aclariments) D'INTERES GENERAL. Mesures antispam.
Index(es):
- Date
- Thread