Re: Komunikaty chkrootkit
2012/7/19 Lech Pankowski <lpank@uwb.edu.pl>:
> Na serwerze z Debianem 6.04 co tydzień uruchamiany jest chkrootkit, a wynik
chkrootkit to użyteczne, ale dość głupiutkie stworzonko, lubi "false positive".
> dopisywany do zbiorczego logu. Przyznaję ze wstydem, że przeglądałem go
> Od 29.04 do 13.05 tego roku pojawiały się komunikaty:
>
> Checking `bindshell'... INFECTED (PORTS: 1080)
A miałeś coś otwarte na porcie 1080? chkrootkit sprawdza czy coś
nasłuchuje na konkretnych portach.
> Teraz ich nie ma.
Jeśli masz serwisy losujące porty (jak NFS na przykład) to mogło samo
pojawić się i zniknąć, zwłaszcza jeśli były restarty.
> Poza tym przy każdym sprawdzaniu pojawia się komunikat:
>
> Searching for anomalies in shell history files... Warning:
> `//root/.githistory' file size is zero
Komunikat się pojawia, bo ciągle masz zerowej długości plik historii,
więc zgodnie z logiką chkrootkita, ktoś mógł go wyczyścić, by ukryć
niecne postępki.
Jest to zatem anomalia. Jeszcze większą anomalią jest używanie gita z roota.
Jeśli jednak nie używałeś gita jako root (wskazane), to nie dziwne, że
jest pusty.
> Czy mógłbym prosić o komentarz dotyczący ich, tzn. czy są powody do
> niepokoju, czy warto coś zrobić itp. Poza tym co to za plik '.githistory',
> czy to ma jakiś związek z systemem kontroli wersji?
No pewnie ma. Nie zwróciłem uwagi, czy taka historia tworzona jest
zawsze. Skasowałbym.
--
Tomasz Kundera
Reply to: