web-dev-qa-db-ja.com

感染したポート600に関するChkrootkitの警告

DebianLinuxシステムでTigerAutomatic Auditorを実行していますが、最近、次のメールが届きました。

# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)

すぐにchkrootkitを手動で実行しましたが、警告や異常な結果は見られませんでした。これが誤検知であったかどうかをどのように判断できますか?

linuxdebianchkrootkittiger
4
jrdioko

確認したところ、後でポート600で何も実行されていませんでした。もっと調べてみると、これは rpc.statdのポートがランダムに選択されているため誤検知 のように聞こえます。

4
jrdioko

私が最初にすることは、ポート600で何が実行されているかを確認することです。

netstat --all --numeric-ports --program |grep 600

何かがあると仮定して、グーグルは他の誰かが誤検知を報告したか、ソフトウェアに問題があったかどうかを確認します。そうでない場合は、他のログをチェックして、侵入の証拠があるかどうかを確認します。

1
Zeroedout