refirio.org

Memo

メモ > サーバ > 各論: トラブル対応例 > chkrootkitが誤動作する

■chkrootkitが誤動作する
chkrootkit 誤検知の対応方法 http://qiita.com/KoriCori/items/4094e79a7d7fc0329117 chkrootkit report in refirio.net Checking `bindshell'... INFECTED (PORTS: 37998) というCron実行メールが届く rootkitを仕掛けられた可能性があるが、誤検知の可能性があるので以下で様子を見る
[root@web1 ~]# chkrootkit | grep INFECTED … サーバ上で再度確認 Checking `bindshell'... INFECTED (PORTS: 37998) [root@web1 ~]# lsof -i -P | grep 37998 … 該当ポートを使用しているプロセスを確認 rpc.statd 2125 rpcuser 10u IPv6 9324 0t0 TCP *:37998 (LISTEN) [root@web1 ~]# netstat -anp | grep 37998 tcp 0 0 :::37998 :::* LISTEN 2125/rpc.statd [root@web1 ~]# ls /etc/init.d/ | grep rpc rpcbind rpcgssd rpcidmapd rpcsvcgssd
AWSのマウントでハマった時のメモ http://qiita.com/shoya/items/009ca1e06d6d9c9f2e67 rpcbindを再起動すると直るかも? 今回は原因不明だったが、yumですべてをアップデートしてサーバを再起動すれば表示されなくなった

Advertisement