Re: duvida com chkrootkit
Em 29/09/05, Mauricio Merlin<mauricio@cimed.ind.br> escreveu:
> Pessoal,
>
> Rodei o chkrootkit na minha maquina e apareceu a seguinte linha:
> Checking `bindshell'... INFECTED (PORTS: 1008)
> o que isso significa?? procurei mas naum consegui resposta..
>
> obrigado..
Se você não estiver infectado de verdade, é possível que o chkrootkit
esteja confundindo o fato da porta 1008 estar "aberta" com um
comportamento do bindshell.
É possível que algum programa "maledeto" esteja ouvindo nessa porta.
Geralmente isso ocorre com conexões RPC. Para saber se algum processo
RPC está utilizando esta porta, execute:
# rpcinfo -p
Devo lembrar que os resultados só devem ser levados em consideração
caso seu sistema não esteja realmente infectado.
Se não achar o "dono" da porta 1008 (mesmo com um "netstat -nlvptu4")
tente rodar novamente o chkrootkit.
Também já ororreu comigo do chkrootkit levantar esse falso positivo do
bindshell quando o chkrootkit é executado pelo tiger.
--
Marcos S. Trazzini => mstrazzini@gmail.com
Reply to: