話題/chkrootkitに引っかかる件について
の編集
http://plamo.linet.gr.jp/?%E8%A9%B1%E9%A1%8C/chkrootkit%E3%81%AB%E5%BC%95%E3%81%A3%E3%81%8B%E3%81%8B%E3%82%8B%E4%BB%B6%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6
[
トップ
] [
編集
|
差分
|
バックアップ
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
-- 雛形とするページ --
diary/Template
chkrootkit http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html#system 投稿者:alpexterm Plamo4.02を新規にインストールして chkrootkitでチェックをしたところ、下記のような警告メッセージが出ますが皆さんのところでは問題はないでしょうか? ~# ./chkrootkit ………… Checking `lkm'... You have 4 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed … --------------- 投稿者:kojima ざっと見た感じ、chkproc でプロセス ID に出てこないプロセスが "hidden" プロセスと~ 見なされて Trojan ではないかとチェックされているみたいだけど、手もとで試したところでは~ bash-3.00# ./chkproc -v PID 3: not in ps output PID 4: not in ps output PID 5: not in ps output PID 6: not in ps output You have 4 process hidden for ps command という結果になり、3から6 のプロセスは PID TTY STAT TIME COMMAND 1 ? S 0:04 init [3] 2 ? SW 0:09 [keventd] 0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 31:11 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:19 [kupdated] 7 ? SW 0:00 [kreiserfsd] ということで、カーネル内部のスレッドだから、false alarm ということで間違いないと思います。 多分、ps コマンドが古くて、カーネルの内部スレッドをプロセスとしてきちんと検出できてない (あるいは本来検出すべきでないものを検出してしまっている) のが原因じゃないかな? // -そういうことも一つの原因として考えられるということなんでしょうかね。 kojimaさん、早速の書き込みありがとうございます。私は、Plamo1.4.xのときからの一PlamoファンでメインのOSとして使用しております。某BBSのハンドルネーム silver55pegnさんがchkrootkitで「何やら怪しい気配」とのご指摘がありサーバで使うのはチョット恐いということで、PlamoのMLを覗いてみても誰も話題にしてないもようとのことでしたので私が代わりにこのwikiに持ち出してみました。-- [[alpexterm]] &new{2005-05-14 (土) 08:36:34}; -自宅のマシンのうちとりあえず2台やってみたのですが noting ばかりでしたカーネルを2.6.11.9に上げてしまっている,Plamo4.02リリース後の更新を全て適用しているので反応してはまずいかなとも思いましたが? -- [[名倉]] &new{2005-05-14 (土) 09:47:15}; -上記の問題は 2.4 系カーネルに限定されるみたい。2.6 系カーネルだと、カーネル内部のスレッドもPIDが振られるので引っかからないようです。というよりも、この問題(?)は chkproc -v でどのプロセスが見えないのかを確認すればいいだけで、カーネル以外に隠れたプロセスが無ければ問題ないのでは? -- [[kojima]] &new{2005-05-14 (土) 10:18:05}; -別のデュアルブーートマシン(2.6.12-rc2,2.4.31-pre1選択可能)でやってみましたおっしゃるとおり2.6.x系では出ませんが2.4.x系では再現します。 -- [[名倉]] &new{2005-05-14 (土) 13:15:28}; #comment ---- #topicpath
タイムスタンプを変更しない
chkrootkit http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html#system 投稿者:alpexterm Plamo4.02を新規にインストールして chkrootkitでチェックをしたところ、下記のような警告メッセージが出ますが皆さんのところでは問題はないでしょうか? ~# ./chkrootkit ………… Checking `lkm'... You have 4 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed … --------------- 投稿者:kojima ざっと見た感じ、chkproc でプロセス ID に出てこないプロセスが "hidden" プロセスと~ 見なされて Trojan ではないかとチェックされているみたいだけど、手もとで試したところでは~ bash-3.00# ./chkproc -v PID 3: not in ps output PID 4: not in ps output PID 5: not in ps output PID 6: not in ps output You have 4 process hidden for ps command という結果になり、3から6 のプロセスは PID TTY STAT TIME COMMAND 1 ? S 0:04 init [3] 2 ? SW 0:09 [keventd] 0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 31:11 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:19 [kupdated] 7 ? SW 0:00 [kreiserfsd] ということで、カーネル内部のスレッドだから、false alarm ということで間違いないと思います。 多分、ps コマンドが古くて、カーネルの内部スレッドをプロセスとしてきちんと検出できてない (あるいは本来検出すべきでないものを検出してしまっている) のが原因じゃないかな? // -そういうことも一つの原因として考えられるということなんでしょうかね。 kojimaさん、早速の書き込みありがとうございます。私は、Plamo1.4.xのときからの一PlamoファンでメインのOSとして使用しております。某BBSのハンドルネーム silver55pegnさんがchkrootkitで「何やら怪しい気配」とのご指摘がありサーバで使うのはチョット恐いということで、PlamoのMLを覗いてみても誰も話題にしてないもようとのことでしたので私が代わりにこのwikiに持ち出してみました。-- [[alpexterm]] &new{2005-05-14 (土) 08:36:34}; -自宅のマシンのうちとりあえず2台やってみたのですが noting ばかりでしたカーネルを2.6.11.9に上げてしまっている,Plamo4.02リリース後の更新を全て適用しているので反応してはまずいかなとも思いましたが? -- [[名倉]] &new{2005-05-14 (土) 09:47:15}; -上記の問題は 2.4 系カーネルに限定されるみたい。2.6 系カーネルだと、カーネル内部のスレッドもPIDが振られるので引っかからないようです。というよりも、この問題(?)は chkproc -v でどのプロセスが見えないのかを確認すればいいだけで、カーネル以外に隠れたプロセスが無ければ問題ないのでは? -- [[kojima]] &new{2005-05-14 (土) 10:18:05}; -別のデュアルブーートマシン(2.6.12-rc2,2.4.31-pre1選択可能)でやってみましたおっしゃるとおり2.6.x系では出ませんが2.4.x系では再現します。 -- [[名倉]] &new{2005-05-14 (土) 13:15:28}; #comment ---- #topicpath
テキスト整形のルールを表示する
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
