????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????
 chkrootkitのチェック結果について |
 |
- ????????? 2007/10/24 13:43
- ????????? ムック
-
はじめまして。
fedora core6を運用しております。
昨日、ルータのログをチェックしていたところ、
私のfedoraのより外部の大量なIPアドレスに対して無作為にtcpの10000番でアタックをかけているログがありました。
私には全く身の覚えがありません。
即座にルータにてフィルターをかけ、外部に影響をもたらさないようにし、まずclan antivirusにてスキャンしましたが、
とくにウイルスやワームに感染はしておりませんでした。
そこで、chkrootkitにて調べたところ、
Checking `netstat'... INFECTED
the name `ty,pid,ruser,args' is not a tty
という結果が表示されました。
これはnetstatコマンドが改ざんされているということでしょうか?
また、この状況を改善するにはどうしたらよいでしょうか?
なお、動作させているアプリケーションは以下のものになります。
(念のため、現在は全て停止させました)
・apache
・postfix
・Mysql
・xoops
・webmin
お手数おかけしますが、どなたかご回答いただければと思います。
|
■ コンテンツ関連情報
 Re: chkrootkitのチェック結果について ( No.1 ) |
|
- ????????? 2007/10/24 14:50
- ????????? 管理者
-
改ざんされているかどうかは分かりませんが、当方の検証環境では「INFECTED」になりませんでした。(i386・x86_64のいづれも・・)
以下に、現在リリースされているバージョンでの戻し方を記述します。
(RPMパッケージは「net-tools」です。yumにてアンインストールしようとすると、依存関係で多々のパッケージもアンインストールされてしまうので、該当コマンドだけリストアします。)
? ワーク用ディレクトリ作成とカレントの移動
# mkdir /tmp/work
# cd /tmp/work
? 「net-tools」パッケージの取得
「i386」の場合は以下
# wget http://ftp.riken.jp/Linux/fedora/core/6/i386/os/Fedora/RPMS/net-tools-1.60-73.i386.rpm
「x86_64」の場合は以下
# wget http://ftp.riken.jp/Linux/fedora/core/6/x86_64/os/Fedora/RPMS/net-tools-1.60-73.x86_64.rpm
※:該当するPCによって違うので「http://ftp.riken.jp/Linux/fedora/core/6/」以下からご参照下さい。
? RPMより抽出(以下の例は「x86_64」版のRPMですので、ファイル名を置き換えて下さい。)
# rpm2cpio net-tools-1.60-73.x86_64.rpm | cpio -id
? 「netstat」コマンドのバックアップ(一様、バックアップしておきます)
# cp -p /bin/netstat /bin/netstat.bak
? 抽出した「netstat」を上書きコピー
# cp -p /tmp/work/bin/netstat /bin/
? ワーク用ディレクトリの削除
# cd
# rm -rf /tmp/work
ここまで出来たら、再度チェックしてみてください。
|
| Re: chkrootkitのチェック結果について ( No.2 ) |
|
- ????????? 2007/10/24 15:05
- ????????? ムック
-
管理者さん
どうもありがとうございます。
上記作業を行ったところ、netstatはINFECTEDと表示されなくなりました。
しかし、
# chkrootkit | grep INFECTED
を行ったところ、相変わらず、
the name `ty,pid,ruser,args' is not a tty
というメッセージが表示されるのですが、これは問題ないのでしょうか?
|
| Re: chkrootkitのチェック結果について ( No.3 ) |
|
- ????????? 2007/10/24 15:36
- ????????? 管理者
-
> the name `ty,pid,ruser,args' is not a tty
>
> というメッセージが表示されるのですが、これは問題ないのでしょうか?
勉強不足の為、当方では判断できないです・・・
検索してもそれらしい情報はありませんね・・
ソースをちょっと見てみたのですが「chkutmp.c」にこの記述があります。
「ps ax -o "tty,pid,ruser,args"」を実行した時の情報を取得している様なのですが、このコマンド自体実行できますか?
以下例)
# ps ax -o "tty,pid,ruser,args"
ちなみに以下は当方の出力例
TT PID RUSER COMMAND
? 1 root init [3]
? 2 root [ksoftirqd/0]
? 3 root [events/0]
? 4 root [khelper]
? 5 root [kacpid]
? 18 root [kblockd/0]
? 19 root [khubd]
? 36 root [pdflush]
? 37 root [pdflush]
? 38 root [kswapd0]
? 39 root [aio/0]
? 185 root [kseriod]
? 425 root [kjournald]
? 1603 root [ata/0]
? 1604 root [ata_aux]
? 1614 root udevd
? 1900 root [kauditd]
? 1945 root [kjournald]
? 2605 root syslogd -m 0
? 2609 root klogd -x
? 2620 nscd /usr/sbin/nscd
? 2635 root cupsd
? 2706 root /usr/sbin/sshd
? 2718 root xinetd -stayalive -pidfile /var/run/xinetd.pid
tty1 2841 root /sbin/mingetty tty1
tty2 2873 root /sbin/mingetty tty2
tty3 2874 root /sbin/mingetty tty3
tty4 2875 root /sbin/mingetty tty4
tty5 2876 root /sbin/mingetty tty5
tty6 2877 root /sbin/mingetty tty6
? 3454 root sshd: root@pts/0
pts/0 3458 root -bash
? 4107 named /usr/sbin/named -u named -t /var/named/chroot
pts/0 6260 root ps ax -o tty,pid,ruser,args
後は、サーバを再起動して見ては如何でしょうか?
|
| Re: chkrootkitのチェック結果について ( No.4 ) |
|
- ????????? 2007/10/24 16:05
- ????????? ムック
-
お手数おかけします。
ps ax -o "tty,pid,ruser,args"
を行ったところ、
the name `ty,pid,ruser,args' is not a tty
と表示されました。
この症状は再起動してもかわりませんでした。
|
■ その他