お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

ページ: 1

 

#1 2010-01-11 18:44:37

shigeo
新しいメンバ
登録日: 2010-01-11

aptitude upgradeを実行後、chkrootkitでSuckitを検出

aptitude upgradeを実行した所、


# aptitude upgrade
以下の新規パッケージがインストールされます:
  linux-headers-2.6.31-17{a} linux-headers-2.6.31-17-server{a}
  linux-image-2.6.31-17-server{a}
以下のパッケージは『削除』されます:
  linux-headers-2.6.31-16{u} linux-headers-2.6.31-16-server{u}
以下のパッケージは更新されます:
  apparmor apparmor-utils libapparmor-perl libapparmor1 libc-bin
  libc-dev-bin libc6 libc6-dev libglib2.0-0 libglib2.0-data
  libgssapi-krb5-2 libk5crypto3 libkrb5-3 libkrb5support0 libwbclient0
  linux-headers-server linux-image-server linux-libc-dev linux-server
  rsyslog samba-common samba-common-bin smbfs tzdata upstart
25 個のパッケージを更新、 3 個を新たにインストール、 2 個を削除予定、0 個が更新されていない。
59.1MB のアーカイブを取得する必要があります。 展開後に 113MB のディスク領域が新たに消費されます。
先に進みますか? [Y/n/?] y


chkrootkitでSuckitが検出されるようになりました。


# chkrootkit
...
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED


rkhunterでは、SuckitはNot Foundとなりましたが、コマンドでいくつかWarningが出ています。


# rkhunter -c
Checking system commands
...
/usr/bin/ldd                                         [ Warning ]
/sbin/init                                           [ Warning ]
/sbin/runlevel                                       [ Warning ]
/usr/sbin/inetd                                      [ Warning ]
/usr/sbin/rsyslogd                                   [ Warning ]
...
Checking for rootkits
...
Suckit Rootkit                                       [ Not found ]


ちなみに各バージョンは以下になっています。
chkrootkit 0.48-10
rkhunter 1.3.4-5
Ubuntu-Server 9.10  Karmic Koala amd64
2.6.31-16-server #53-Ubuntu SMP Tue Dec 8 05:08:02 UTC 2009 x86_64 GNU/Linux

bugが上がっているようなのですが、心配です。
http://ubuntuforums.org/showthread.php?p=8548522

同じような状況で解決された方いらっしゃいますでしょうか?
アドバイスお願い致します。

オフライン

 

#2 2010-01-11 19:18:38

hito
管理者
登録日: 2007-03-18

Re: aptitude upgradeを実行後、chkrootkitでSuckitを検出

これはどうしたいのでしょう。

・本当にセキュリティ侵害を受けているか確認したい。
・false positiveらしいので、誤った検知が出ないようにしたい。

前者に関連する情報としては、少なくとも、chkrootkitの検出方法は非常に単純な方法で、/sbin/initのバイナリに特定の文字列が含まれているかどうかと、mapsに「init」という文字列が含まれていないかしか見ていません。UbuntuのinitはUpstartで、この条件には必ずヒットする、ということが言えます。

また、rkhunterのWariningは、/var/log/rkhunter.log を見て頂くと、なぜWarningが出たのかが記載されているはずですので、そちらと照らし合わせてみる必要があるかと思います。

オフライン

 

#3 2010-01-11 20:06:30

shigeo
新しいメンバ
登録日: 2010-01-11

Re: aptitude upgradeを実行後、chkrootkitでSuckitを検出

自己解決しました。

hito による投稿:

これはどうしたいのでしょう。

・本当にセキュリティ侵害を受けているか確認したい。
・false positiveらしいので、誤った検知が出ないようにしたい。

質問の意図が分かり難く、申し訳ございませんでした。
はい、上記のようなアドバイスを欲していました。

hito による投稿:

前者に関連する情報としては、少なくとも、chkrootkitの検出方法は非常に単純な方法で、/sbin/initのバイナリに特定の文字列が含まれているかどうかと、mapsに「init」という文字列が含まれていないかしか見ていません。UbuntuのinitはUpstartで、この条件には必ずヒットする、ということが言えます。

サーバをreboot後、検出されなくなりました。

hito による投稿:

また、rkhunterのWariningは、/var/log/rkhunter.log を見て頂くと、なぜWarningが出たのかが記載されているはずですので、そちらと照らし合わせてみる必要があるかと思います。

以下を実行することでWariningも表示されなくなりました。
# rkhunter --propupd

お騒がして本当に申し訳ございませんでした。

オフライン

 

 

ページ: 1

Board footer

Powered by FluxBB