Dúvida sobre infecção por rootkit
Pessoal,
Baixei via apt-get e passei no meu servidor o pacote chkrootkit e ele
encontrou o seguinte: Checking `bindshell'... INFECTED (PORTS: 31337)
Verifiquei com o nmap e aparece o sequinte:
31337/tcp open Elite
Verifiquei a porta para ver o que estava abrindo e deu o Portsentry:
Wolverine:~# fuser -n tcp 31337
31337/tcp: 306
Wolverine:~d# ps aux |grep 306
root 306 0.0 0.1 1224 484 ? S Mar26 0:00
/usr/sbin/portsentry -tcp
Para as outras portas monitoradas pelo portsentry não há nada de anormal
encontrado. Será que realmente há um rootkit na máquina ou o chkrootkit
enganou-se com a monitoração do portsentry?
Abraços
--
__________________________________________
Leandro Godoy
Analista de Produçãoo - Projeto AES Sul
Centro de Gerência
Service IT Solutions
www.service.com.br/marketing
------------------------------------------
Certificado Conectiva Linux _
Linux User: #286164 °v°
Projeto Software Livre - RS /(_)\
www.softwarelivre.org ^ ^
"Paz, amor e software livre"
-------------------------------------------
Reply to: