chkrootkit
http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html#system
投稿者:alpexterm
Plamo4.02を新規にインストールして chkrootkitでチェックをしたところ、下記のような警告メッセージが出ますが皆さんのところでは問題はないでしょうか?
~# ./chkrootkit
…………
Checking `lkm'... You have 4 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
…
---------------
投稿者:kojima
ざっと見た感じ、chkproc でプロセス ID に出てこないプロセスが "hidden" プロセスと~
見なされて Trojan ではないかとチェックされているみたいだけど、手もとで試したところでは~
bash-3.00# ./chkproc -v
PID 3: not in ps output
PID 4: not in ps output
PID 5: not in ps output
PID 6: not in ps output
You have 4 process hidden for ps command
という結果になり、3から6 のプロセスは
PID TTY STAT TIME COMMAND
1 ? S 0:04 init [3]
2 ? SW 0:09 [keventd]
0 ? SWN 0:00 [ksoftirqd_CPU0]
0 ? SW 31:11 [kswapd]
0 ? SW 0:00 [bdflush]
0 ? SW 0:19 [kupdated]
7 ? SW 0:00 [kreiserfsd]
ということで、カーネル内部のスレッドだから、false alarm ということで間違いないと思います。
多分、ps コマンドが古くて、カーネルの内部スレッドをプロセスとしてきちんと検出できてない
(あるいは本来検出すべきでないものを検出してしまっている)
のが原因じゃないかな?
//
-そういうことも一つの原因として考えられるということなんでしょうかね。
kojimaさん、早速の書き込みありがとうございます。私は、Plamo1.4.xのときからの一PlamoファンでメインのOSとして使用しております。某BBSのハンドルネーム silver55pegnさんがchkrootkitで「何やら怪しい気配」とのご指摘がありサーバで使うのはチョット恐いということで、PlamoのMLを覗いてみても誰も話題にしてないもようとのことでしたので私が代わりにこのwikiに持ち出してみました。-- [[alpexterm]] &new{2005-05-14 (土) 08:36:34};
-自宅のマシンのうちとりあえず2台やってみたのですが noting ばかりでしたカーネルを2.6.11.9に上げてしまっている,Plamo4.02リリース後の更新を全て適用しているので反応してはまずいかなとも思いましたが? -- [[名倉]] &new{2005-05-14 (土) 09:47:15};
-上記の問題は 2.4 系カーネルに限定されるみたい。2.6 系カーネルだと、カーネル内部のスレッドもPIDが振られるので引っかからないようです。というよりも、この問題(?)は chkproc -v でどのプロセスが見えないのかを確認すればいいだけで、カーネル以外に隠れたプロセスが無ければ問題ないのでは? -- [[kojima]] &new{2005-05-14 (土) 10:18:05};
-別のデュアルブーートマシン(2.6.12-rc2,2.4.31-pre1選択可能)でやってみましたおっしゃるとおり2.6.x系では出ませんが2.4.x系では再現します。 -- [[名倉]] &new{2005-05-14 (土) 13:15:28};
#comment
----
#topicpath
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
