Re: Dúvida sobre infecção por rootkit
Em /usr/share/doc/chkrootkit/README.Debian:
Below is a list of packages which are known to set off false alarms in
chkrootkit.
(...)
portsentry: Portsentry by default listens to port 31337/udp, which chkrootkit
detects as malicious. chkrootkit checks for other malicious ports, which
may be bound by innocent programs.
(...)
> Pessoal,
> Baixei via apt-get e passei no meu servidor o pacote chkrootkit e ele
> encontrou o seguinte: Checking `bindshell'... INFECTED (PORTS: 31337)
>
> Verifiquei com o nmap e aparece o sequinte:
> 31337/tcp open Elite
>
> Verifiquei a porta para ver o que estava abrindo e deu o Portsentry:
> Wolverine:~# fuser -n tcp 31337
> 31337/tcp: 306
> Wolverine:~d# ps aux |grep 306
> root 306 0.0 0.1 1224 484 ? S Mar26 0:00
> /usr/sbin/portsentry -tcp
>
> Para as outras portas monitoradas pelo portsentry não há nada de anormal
> encontrado. Será que realmente há um rootkit na máquina ou o chkrootkit
> enganou-se com a monitoração do portsentry?
>
> Abraços
>
>
> --
> __________________________________________
> Leandro Godoy
> Analista de Produçãoo - Projeto AES Sul
> Centro de Gerência
> Service IT Solutions
> www.service.com.br/marketing
> ------------------------------------------
> Certificado Conectiva Linux _
> Linux User: #286164 °v°
> Projeto Software Livre - RS /(_)\
> www.softwarelivre.org ^ ^
> "Paz, amor e software livre"
> -------------------------------------------
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: