????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????
chkrootkitのチェック結果について |
|
- ????????? 2007/10/24 13:43
- ????????? ムック
-
はじめまして。
fedora core6を運用しております。 昨日、ルータのログをチェックしていたところ、 私のfedoraのより外部の大量なIPアドレスに対して無作為にtcpの10000番でアタックをかけているログがありました。 私には全く身の覚えがありません。 即座にルータにてフィルターをかけ、外部に影響をもたらさないようにし、まずclan antivirusにてスキャンしましたが、 とくにウイルスやワームに感染はしておりませんでした。 そこで、chkrootkitにて調べたところ、
Checking `netstat'... INFECTED the name `ty,pid,ruser,args' is not a tty
という結果が表示されました。 これはnetstatコマンドが改ざんされているということでしょうか? また、この状況を改善するにはどうしたらよいでしょうか?
なお、動作させているアプリケーションは以下のものになります。 (念のため、現在は全て停止させました) ・apache ・postfix ・Mysql ・xoops ・webmin
お手数おかけしますが、どなたかご回答いただければと思います。
|
■ コンテンツ関連情報
Re: chkrootkitのチェック結果について ( No.1 ) |
|
- ????????? 2007/10/24 14:50
- ????????? 管理者
-
改ざんされているかどうかは分かりませんが、当方の検証環境では「INFECTED」になりませんでした。(i386・x86_64のいづれも・・)
以下に、現在リリースされているバージョンでの戻し方を記述します。 (RPMパッケージは「net-tools」です。yumにてアンインストールしようとすると、依存関係で多々のパッケージもアンインストールされてしまうので、該当コマンドだけリストアします。)
? ワーク用ディレクトリ作成とカレントの移動 # mkdir /tmp/work # cd /tmp/work
? 「net-tools」パッケージの取得 「i386」の場合は以下 # wget http://ftp.riken.jp/Linux/fedora/core/6/i386/os/Fedora/RPMS/net-tools-1.60-73.i386.rpm
「x86_64」の場合は以下 # wget http://ftp.riken.jp/Linux/fedora/core/6/x86_64/os/Fedora/RPMS/net-tools-1.60-73.x86_64.rpm
※:該当するPCによって違うので「http://ftp.riken.jp/Linux/fedora/core/6/」以下からご参照下さい。
? RPMより抽出(以下の例は「x86_64」版のRPMですので、ファイル名を置き換えて下さい。) # rpm2cpio net-tools-1.60-73.x86_64.rpm | cpio -id
? 「netstat」コマンドのバックアップ(一様、バックアップしておきます) # cp -p /bin/netstat /bin/netstat.bak
? 抽出した「netstat」を上書きコピー # cp -p /tmp/work/bin/netstat /bin/
? ワーク用ディレクトリの削除 # cd # rm -rf /tmp/work
ここまで出来たら、再度チェックしてみてください。
|
Re: chkrootkitのチェック結果について ( No.2 ) |
|
- ????????? 2007/10/24 15:05
- ????????? ムック
-
管理者さん
どうもありがとうございます。 上記作業を行ったところ、netstatはINFECTEDと表示されなくなりました。 しかし、
# chkrootkit | grep INFECTED を行ったところ、相変わらず、
the name `ty,pid,ruser,args' is not a tty
というメッセージが表示されるのですが、これは問題ないのでしょうか?
|
Re: chkrootkitのチェック結果について ( No.3 ) |
|
- ????????? 2007/10/24 15:36
- ????????? 管理者
-
> the name `ty,pid,ruser,args' is not a tty
> > というメッセージが表示されるのですが、これは問題ないのでしょうか?
勉強不足の為、当方では判断できないです・・・ 検索してもそれらしい情報はありませんね・・
ソースをちょっと見てみたのですが「chkutmp.c」にこの記述があります。 「ps ax -o "tty,pid,ruser,args"」を実行した時の情報を取得している様なのですが、このコマンド自体実行できますか? 以下例)
# ps ax -o "tty,pid,ruser,args"
ちなみに以下は当方の出力例 TT PID RUSER COMMAND ? 1 root init [3] ? 2 root [ksoftirqd/0] ? 3 root [events/0] ? 4 root [khelper] ? 5 root [kacpid] ? 18 root [kblockd/0] ? 19 root [khubd] ? 36 root [pdflush] ? 37 root [pdflush] ? 38 root [kswapd0] ? 39 root [aio/0] ? 185 root [kseriod] ? 425 root [kjournald] ? 1603 root [ata/0] ? 1604 root [ata_aux] ? 1614 root udevd ? 1900 root [kauditd] ? 1945 root [kjournald] ? 2605 root syslogd -m 0 ? 2609 root klogd -x ? 2620 nscd /usr/sbin/nscd ? 2635 root cupsd ? 2706 root /usr/sbin/sshd ? 2718 root xinetd -stayalive -pidfile /var/run/xinetd.pid tty1 2841 root /sbin/mingetty tty1 tty2 2873 root /sbin/mingetty tty2 tty3 2874 root /sbin/mingetty tty3 tty4 2875 root /sbin/mingetty tty4 tty5 2876 root /sbin/mingetty tty5 tty6 2877 root /sbin/mingetty tty6 ? 3454 root sshd: root@pts/0 pts/0 3458 root -bash ? 4107 named /usr/sbin/named -u named -t /var/named/chroot pts/0 6260 root ps ax -o tty,pid,ruser,args
後は、サーバを再起動して見ては如何でしょうか?
|
Re: chkrootkitのチェック結果について ( No.4 ) |
|
- ????????? 2007/10/24 16:05
- ????????? ムック
-
お手数おかけします。
ps ax -o "tty,pid,ruser,args" を行ったところ、
the name `ty,pid,ruser,args' is not a tty
と表示されました。 この症状は再起動してもかわりませんでした。
|
■ その他