Skocz do zawartości

Log Z Chkrootkit

enter1

Przez enter1,
w Bezpieczeństwo

 Share

Rekomendowane odpowiedzi

enter1 Użytkownik

enter1

Napisano
Napisano (edytowane)

Witam wszystkich.

Zainstalowałem sobie chkrootkit i po sprawdzeniu nie spodobała mi się jedna linia, ale nie wiem czy to coś szkodliwego.

ROOTDIR is `/'					
Checking `amd'... not found	   
Checking `basename'... not infected
Checking `biff'... not found	   
Checking `chfn'... not infected	
Checking `chsh'... not infected	
Checking `cron'... not infected	
Checking `crontab'... not infected 
Checking `date'... not infected	
Checking `du'... not infected	  
Checking `dirname'... not infected 
Checking `echo'... not infected	
Checking `egrep'... not infected   
Checking `env'... not infected	 
Checking `find'... not infected	
Checking `fingerd'... not found	
Checking `gpm'... not found		
Checking `grep'... not infected	
Checking `hdparm'... not infected  
Checking `su'... not infected	  
Checking `ifconfig'... not infected
Checking `inetd'... not found	  
Checking `inetdconf'... not found  
Checking `identd'... not found	 
Checking `init'... not infected	
Checking `killall'... not infected 
Checking `ldsopreload'... not infected
Checking `login'... not infected	  
Checking `ls'... not infected		 
Checking `lsof'... not infected	   
Checking `mail'... not infected	   
Checking `mingetty'... not infected   
Checking `netstat'... not infected	
Checking `named'... not found		 
Checking `passwd'... not infected	 
Checking `pidof'... not infected	  
Checking `pop2'... not found		  
Checking `pop3'... not found		  
Checking `ps'... not infected		 
Checking `pstree'... not infected	 
Checking `rpcinfo'... not infected	
Checking `rlogind'... not found	   
Checking `rshd'... not found		  
Checking `slogin'... not infected	 
Checking `sendmail'... not infected   
Checking `sshd'... not infected	   
Checking `syslogd'... not tested	  
Checking `tar'... not infected		
Checking `tcpd'... not infected	   
Checking `tcpdump'... not infected	
Checking `top'... not infected		
Checking `telnetd'... not found	   
Checking `timed'... not found		 
Checking `traceroute'... not infected 
Checking `vdir'... not infected	   
Checking `w'... not infected		  
Checking `write'... not infected	  
Checking `aliens'... no suspect files 
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found		   
Searching for t0rn's default files and dirs... nothing found	  
Searching for t0rn's v8 defaults... nothing found				 
Searching for Lion Worm default files and dirs... nothing found   
Searching for RSHA's default files and dir... nothing found	   
Searching for RH-Sharpe's default files... nothing found		  
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...			  
/usr/lib/.libfipscheck.so.1.1.0.hmac /usr/lib/.libssl.so.8.hmac /usr/lib/.libfipscheck.so.1.hmac /usr/lib/qt-3.3/etc/settings/.qt_plugins_3.3rc.lock /usr/lib/qt-3.3/etc/settings/.qtpartedrc.lock /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/99/1/.cp /usr/lib/firefox-3.5.3/.autoreg /usr/lib/.libssl.so.0.9.8k.hmac /usr/lib/.libcrypto.so.8.hmac /usr/lib/.libcrypto.so.0.9.8k.hmac /lib/.libgcrypt.so.11.hmac /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/99/1/.cp																														  
Searching for LPD Worm files and dirs... nothing found																																	
Searching for Ramen Worm files and dirs... nothing found																																  
Searching for Maniac files and dirs... nothing found																																	  
Searching for RK17 files and dirs... nothing found																																		
Searching for Ducoci rootkit... nothing found																																			 
Searching for Adore Worm... nothing found																																				 
Searching for ShitC Worm... nothing found																																				 
Searching for Omega Worm... nothing found																																				 
Searching for Sadmind/IIS Worm... nothing found																																		   
Searching for MonKit... nothing found																																					 
Searching for Showtee... nothing found																																					
Searching for OpticKit... nothing found																																				   
Searching for T.R.K... nothing found																																					  
Searching for Mithra... nothing found																																					 
Searching for LOC rootkit... nothing found																																				
Searching for Romanian rootkit... nothing found																																		   
Searching for HKRK rootkit... nothing found																																			   
Searching for Suckit rootkit... nothing found																																			 
Searching for Volc rootkit... nothing found																																			   
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... wlan1: PF_PACKET(/usr/sbin/wpa_supplicant, /sbin/dhclient)
virbr0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user root deleted or never logged from lastlog!
Checking `chkutmp'... chkutmp: nothing deleted

 

Prawie wszędzie w logu jest not found lub not infected, no właśnie prawie wszędzie. Proszę o opinię, czy w następnej linii za "Searching for suspicious files and dirs, it may take a while..." wszystko jest OK?

Edytowane przez WalDo
edycja znaczników
Odnośnik do komentarza
Udostępnij na innych stronach
WalDo Yoda Master

@WalDo

Napisano
Napisano

Kopiujesz sobie nazwę "podejrzanego" pliku do schowka np./usr/lib/.libfipscheck.so.1.1.0.hmac i robisz

yum provides /usr/lib/.libfipscheck.so.1.1.0.hmac

i masz odpowiedź na wątpliwości. chrootkit po prostu nie zna wszystkich możliwych bibliotek, więc czepia się czasem do nieznanych mu plików ukrytych (kropka na początku nazwy). Jeśli plik pochodzi z jakiegoś pakietu z repo to raczej wszystko OK (oczywiście z dokładnością do tego, że ktoś mógł go zamienić własną kopią ;) )

Dodatkowo możesz skorzystać z rkhunter.

 

P.S. Używaj znaczników codebox (po lewej od okienka edycji posta) zamiast code przy długich listingach

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Share
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...