メモ > サーバ > 各論: トラブル対応例 > chkrootkitが誤動作する
chkrootkitが誤動作する
chkrootkit 誤検知の対応方法
http://qiita.com/KoriCori/items/4094e79a7d7fc0329117
chkrootkit report in refirio.net
Checking `bindshell'... INFECTED (PORTS: 37998)
というCron実行メールが届く。
rootkitを仕掛けられた可能性があるが、誤検知の可能性があるので以下で様子を見る。
[root@web1 ~]# chkrootkit | grep INFECTED … サーバ上で再度確認。
Checking `bindshell'... INFECTED (PORTS: 37998)
[root@web1 ~]# lsof -i -P | grep 37998 … 該当ポートを使用しているプロセスを確認。
rpc.statd 2125 rpcuser 10u IPv6 9324 0t0 TCP *:37998 (LISTEN)
[root@web1 ~]# netstat -anp | grep 37998
tcp 0 0 :::37998 :::* LISTEN 2125/rpc.statd
[root@web1 ~]# ls /etc/init.d/ | grep rpc
rpcbind
rpcgssd
rpcidmapd
rpcsvcgssd
AWSのマウントでハマった時のメモ
http://qiita.com/shoya/items/009ca1e06d6d9c9f2e67
rpcbindを再起動すると直るかも?
今回は原因不明だったが、yumですべてをアップデートしてサーバを再起動すれば表示されなくなった。
Advertisement