Re: duvida com chkrootkit

To: Lista Debian <debian-user-portuguese@lists.debian.org>
Subject: Re: duvida com chkrootkit
From: Marcos Trazzini <mstrazzini@gmail.com>
Date: Sat, 1 Oct 2005 02:09:16 -0300
Message-id: <[🔎] dcd005b80509302209g6b08d799r@mail.gmail.com>
Reply-to: Marcos Trazzini <mstrazzini@gmail.com>
In-reply-to: <433BF6A1.8040701@cimed.ind.br>
References: <433BF6A1.8040701@cimed.ind.br>

Em 29/09/05, Mauricio Merlin<mauricio@cimed.ind.br> escreveu:
> Pessoal,
>
> Rodei o chkrootkit na minha maquina e apareceu a seguinte linha:
> Checking `bindshell'... INFECTED (PORTS:  1008)
> o que isso significa?? procurei mas naum consegui resposta..
>
> obrigado..

Se você não estiver infectado de verdade, é possível que o chkrootkit
esteja confundindo o fato da porta 1008 estar "aberta" com um
comportamento do bindshell.

É possível que algum programa "maledeto" esteja ouvindo nessa porta.
Geralmente isso ocorre com conexões RPC. Para saber se algum processo
RPC está utilizando esta porta, execute:

# rpcinfo -p

Devo lembrar que os resultados só devem ser levados em consideração
caso seu sistema não esteja realmente infectado.

Se não achar o "dono" da porta 1008 (mesmo com um "netstat -nlvptu4")
tente rodar novamente o chkrootkit.

Também já ororreu comigo do chkrootkit levantar esse falso positivo do
bindshell quando o chkrootkit é executado pelo tiger.

--
Marcos S. Trazzini => mstrazzini@gmail.com

Reply to:

Prev by Date: Re: Problemas com o Open-Xchange
Next by Date: Re: sistema de backup
Previous by thread: Re: Problemas com o Open-Xchange
Next by thread: Re: sistema de backup
Index(es):
- Date
- Thread