enter1 Napisano Październik 3, 2009 Zgłoszenie Share Napisano Październik 3, 2009 (edytowane) Witam wszystkich. Zainstalowałem sobie chkrootkit i po sprawdzeniu nie spodobała mi się jedna linia, ale nie wiem czy to coś szkodliwego. ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not found Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not tested Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/.libfipscheck.so.1.1.0.hmac /usr/lib/.libssl.so.8.hmac /usr/lib/.libfipscheck.so.1.hmac /usr/lib/qt-3.3/etc/settings/.qt_plugins_3.3rc.lock /usr/lib/qt-3.3/etc/settings/.qtpartedrc.lock /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/99/1/.cp /usr/lib/firefox-3.5.3/.autoreg /usr/lib/.libssl.so.0.9.8k.hmac /usr/lib/.libcrypto.so.8.hmac /usr/lib/.libcrypto.so.0.9.8k.hmac /lib/.libgcrypt.so.11.hmac /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/99/1/.cp Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... nothing found Searching for HKRK rootkit... nothing found Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for common ssh-scanners default files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... chkproc: nothing detected chkdirs: nothing detected Checking `rexedcs'... not found Checking `sniffer'... wlan1: PF_PACKET(/usr/sbin/wpa_supplicant, /sbin/dhclient) virbr0: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... user root deleted or never logged from lastlog! Checking `chkutmp'... chkutmp: nothing deleted Prawie wszędzie w logu jest not found lub not infected, no właśnie prawie wszędzie. Proszę o opinię, czy w następnej linii za "Searching for suspicious files and dirs, it may take a while..." wszystko jest OK? Edytowane Październik 3, 2009 przez WalDo edycja znaczników Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Październik 3, 2009 Zgłoszenie Share Napisano Październik 3, 2009 Kopiujesz sobie nazwę "podejrzanego" pliku do schowka np./usr/lib/.libfipscheck.so.1.1.0.hmac i robisz yum provides /usr/lib/.libfipscheck.so.1.1.0.hmac i masz odpowiedź na wątpliwości. chrootkit po prostu nie zna wszystkich możliwych bibliotek, więc czepia się czasem do nieznanych mu plików ukrytych (kropka na początku nazwy). Jeśli plik pochodzi z jakiegoś pakietu z repo to raczej wszystko OK (oczywiście z dokładnością do tego, że ktoś mógł go zamienić własną kopią ) Dodatkowo możesz skorzystać z rkhunter. P.S. Używaj znaczników codebox (po lewej od okienka edycji posta) zamiast code przy długich listingach Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się