はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????

 chkrootkitのチェック結果について
????????? 2007/10/24 13:43
????????? ムック

はじめまして。
fedora core6を運用しております。
昨日、ルータのログをチェックしていたところ、
私のfedoraのより外部の大量なIPアドレスに対して無作為にtcpの10000番でアタックをかけているログがありました。
私には全く身の覚えがありません。
即座にルータにてフィルターをかけ、外部に影響をもたらさないようにし、まずclan antivirusにてスキャンしましたが、
とくにウイルスやワームに感染はしておりませんでした。
そこで、chkrootkitにて調べたところ、

Checking `netstat'... INFECTED
the name `ty,pid,ruser,args' is not a tty

という結果が表示されました。
これはnetstatコマンドが改ざんされているということでしょうか?
また、この状況を改善するにはどうしたらよいでしょうか?

なお、動作させているアプリケーションは以下のものになります。
(念のため、現在は全て停止させました)
・apache
・postfix
・Mysql
・xoops
・webmin

お手数おかけしますが、どなたかご回答いただければと思います。

■ コンテンツ関連情報

 Re: chkrootkitのチェック結果について ( No.1 )
????????? 2007/10/24 14:50
????????? 管理者

改ざんされているかどうかは分かりませんが、当方の検証環境では「INFECTED」になりませんでした。(i386・x86_64のいづれも・・)

以下に、現在リリースされているバージョンでの戻し方を記述します。
(RPMパッケージは「net-tools」です。yumにてアンインストールしようとすると、依存関係で多々のパッケージもアンインストールされてしまうので、該当コマンドだけリストアします。)

? ワーク用ディレクトリ作成とカレントの移動
# mkdir /tmp/work
# cd /tmp/work

? 「net-tools」パッケージの取得
「i386」の場合は以下
# wget http://ftp.riken.jp/Linux/fedora/core/6/i386/os/Fedora/RPMS/net-tools-1.60-73.i386.rpm

「x86_64」の場合は以下
# wget http://ftp.riken.jp/Linux/fedora/core/6/x86_64/os/Fedora/RPMS/net-tools-1.60-73.x86_64.rpm

※:該当するPCによって違うので「http://ftp.riken.jp/Linux/fedora/core/6/」以下からご参照下さい。

? RPMより抽出(以下の例は「x86_64」版のRPMですので、ファイル名を置き換えて下さい。)
# rpm2cpio net-tools-1.60-73.x86_64.rpm | cpio -id

? 「netstat」コマンドのバックアップ(一様、バックアップしておきます)
# cp -p /bin/netstat /bin/netstat.bak

? 抽出した「netstat」を上書きコピー
# cp -p /tmp/work/bin/netstat /bin/

? ワーク用ディレクトリの削除
# cd
# rm -rf /tmp/work


ここまで出来たら、再度チェックしてみてください。
 Re: chkrootkitのチェック結果について ( No.2 )
????????? 2007/10/24 15:05
????????? ムック

管理者さん

どうもありがとうございます。
上記作業を行ったところ、netstatはINFECTEDと表示されなくなりました。
しかし、

# chkrootkit | grep INFECTED
を行ったところ、相変わらず、

the name `ty,pid,ruser,args' is not a tty

というメッセージが表示されるのですが、これは問題ないのでしょうか?
 Re: chkrootkitのチェック結果について ( No.3 )
????????? 2007/10/24 15:36
????????? 管理者

> the name `ty,pid,ruser,args' is not a tty
>
> というメッセージが表示されるのですが、これは問題ないのでしょうか?


勉強不足の為、当方では判断できないです・・・
検索してもそれらしい情報はありませんね・・

ソースをちょっと見てみたのですが「chkutmp.c」にこの記述があります。
「ps ax -o "tty,pid,ruser,args"」を実行した時の情報を取得している様なのですが、このコマンド自体実行できますか?
以下例)

# ps ax -o "tty,pid,ruser,args"

ちなみに以下は当方の出力例
TT     PID RUSER  COMMAND
?      1 root   init [3]
?      2 root   [ksoftirqd/0]
?      3 root   [events/0]
?      4 root   [khelper]
?      5 root   [kacpid]
?      18 root   [kblockd/0]
?      19 root   [khubd]
?      36 root   [pdflush]
?      37 root   [pdflush]
?      38 root   [kswapd0]
?      39 root   [aio/0]
?     185 root   [kseriod]
?     425 root   [kjournald]
?     1603 root   [ata/0]
?     1604 root   [ata_aux]
?     1614 root   udevd
?     1900 root   [kauditd]
?     1945 root   [kjournald]
?     2605 root   syslogd -m 0
?     2609 root   klogd -x
?     2620 nscd   /usr/sbin/nscd
?     2635 root   cupsd
?     2706 root   /usr/sbin/sshd
?     2718 root   xinetd -stayalive -pidfile /var/run/xinetd.pid
tty1   2841 root   /sbin/mingetty tty1
tty2   2873 root   /sbin/mingetty tty2
tty3   2874 root   /sbin/mingetty tty3
tty4   2875 root   /sbin/mingetty tty4
tty5   2876 root   /sbin/mingetty tty5
tty6   2877 root   /sbin/mingetty tty6
?     3454 root   sshd: root@pts/0
pts/0   3458 root   -bash
?     4107 named  /usr/sbin/named -u named -t /var/named/chroot
pts/0   6260 root   ps ax -o tty,pid,ruser,args


後は、サーバを再起動して見ては如何でしょうか?
 Re: chkrootkitのチェック結果について ( No.4 )
????????? 2007/10/24 16:05
????????? ムック

お手数おかけします。

ps ax -o "tty,pid,ruser,args"
を行ったところ、

the name `ty,pid,ruser,args' is not a tty

と表示されました。
この症状は再起動してもかわりませんでした。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.