chkrootkit で INFECTED
この前も紹介したサイトを参照しながら、chkrootkit をインストールして動作確認する。
≫rootkit検知ツール導入(chkrootkit) - Fedoraで自宅サーバー構築
そこにはこう書いてある。
[root@fedora ~]# chkrootkit|grep INFECTED ← chkrootkit実行 上記chkrootkit実行結果として"INFECTED"という行が表示されなければ問題なし
そしてこちらでの実行結果は。。。
[root@host ~]# chkrootkit|grep INFECTED Checking `bindshell'... INFECTED (PORTS: 600)
ぐぐってみると、NFS が影響して誤作動する可能性があるとか書いてある。さっきインストールを終えて再起動したばかりなのに NFS って動いてたっけ?
[root@host ~]# chkconfig --list nfs nfs 0:off 1:off 2:off 3:off 4:off 5:off 6:off
うーむ。。。
とりあえず 600番ポートを使ってる人がいるかどうか調べてみる。
[root@host ~]# sudo lsof -i -P | grep 600 rpcbind 6361 rpc 7u IPv4 63509 UDP *:600 [root@host ~]# netstat -anp | grep 600 udp 0 0 0.0.0.0:600 0.0.0.0:* 6361/rpcbind
rpcbind が 600番ポートを使ってるので、rpcbind を止めてみる。
[root@host ~]# /etc/rc.d/init.d/rpcbind stop rpcbind を停止中: [ OK ]
念のため、chkrootkit を動かしてみる。
[root@host ~]# chkrootkit|grep INFECTED
INFECTED が出なくなった。600番ポートを使ってる人がいるかどうか確認してみる。
[root@host ~]# netstat -anp | grep 600
rpcbind を起動して、もう一度 chkrootkit を動かしてみる。
[root@host ~]# /etc/rc.d/init.d/rpcbind start rpcbind を起動中: [ OK ] [root@host ~]# netstat -anp | grep 600 [root@host ~]# sudo lsof -i -P | grep 600 [root@host ~]# chkrootkit|grep INFECTED
chkrootkit って、過敏に反応するポートがあるっぽい。もし INFECTED が出るようになったら、そのポートを使ってるプロセスを見つけて再起動してやればいいんじゃないかと。