お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

ページ: 1

 

#1 2008-03-17 23:16:15

momonga
新しいメンバ
登録日: 2007-03-11

ルートキット検知ツールのエラー表示について

momongaです。

ひさびさに投稿します。

Linuxにもルートキットの脅威があることをネットの記事で知り、下記の検知ツールをSynapticから
インストールしたところ、気になるエラー表示のようなものがログとして出力されていました。

これが問題ないものかどうかが判断がつかず困っております。
どなたか同じ結果になったけど解決出来た方、これはこういう意味ですよというのを知っている方が
いらっしゃればアドバイスをお願いします。

1.chkrootkitによる検査

sudo chkrootkit -q

The following suspicious files and directories were found:
/usr/lib/firefox/.autoreg
/lib/modules/2.6.22-14-generic/volatile/.mounted

/usr/lib/security
/usr/lib/security/classpath.security
eth0: PACKET SNIFFER(/sbin/dhclient3[5682]) ← ここの部分の表示がエラー?


2.rkhunterによる検査

翻訳ソフトで翻訳した結果、隠しファイルとディレクトリがないかどうかチェックするという
内容の部分でWarning表示になっています。

sudo rkhunter -c --createlogfile --skip-keypress

Performing filesystem checks
    Checking /dev for suspicious file types     [ None found ]
    Checking for hidden files and directories   [ Warning ] ← ここの部分の表示がエラー?

System checks summary ← テストの結果では問題がないという結果は出ていますが・・・
=====================

File properties checks...
    Files checked: 122
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 0

Applications checks...
    Applications checked: 3
    Suspect applications: 0

The system checks took: 33 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

オフライン

 

#2 2008-03-18 12:36:39

kiyoshi
拒否
From: Linux-Loving-Person
登録日: 2007-02-07

Re: ルートキット検知ツールのエラー表示について

※規約違反により追放されたユーザの投稿は、ログインユーザにのみ表示されます。

オフライン

 

#3 2008-03-23 21:28:49

momonga
新しいメンバ
登録日: 2007-03-11

Re: ルートキット検知ツールのエラー表示について

momongaです。

kiyoshiさん初めまして。返事が遅れて申し訳ありません。

紹介して頂いたサイトですが、英語が苦手なもので翻訳サイトで翻訳して内容
を確認してみました。的を得ていないかもしれませんが、ルートキット関連の
ツールには誤報が多いというようにとれました。

またeth0: PACKET SNIFFER(/sbin/dhclient3[5682])の表示についてはDHCP
でIPアドレスを取得しているPCだとこの表示が出てしまうように受け取れ
ました。これも誤報という感じですね。

もう一度自分なりに調べてみようかなと思います。
お忙しいところ、対応して頂きありがとうございました。

オフライン

 

#4 2008-03-23 23:21:30

hito
管理者
登録日: 2007-03-18

Re: ルートキット検知ツールのエラー表示について

# あー。すいません、答えたつもりで忘れていました。

momonga による投稿:

1.chkrootkitによる検査

sudo chkrootkit -q

The following suspicious files and directories were found:
/usr/lib/firefox/.autoreg
/lib/modules/2.6.22-14-generic/volatile/.mounted

上記は「通常存在しない(と、chkrootkitが思い込んでいる)ファイルが検出されました」
という警告です。通常は無視して構いません。
そして、今回の場合も問題ないように見えます(もちろん、気合いの入っているアタッカーが
いて、通常使われるのと同じ隠しファイルに何かしていれば分かりませんが、まず大丈夫
だと思われます)。

/usr/lib/security
/usr/lib/security/classpath.security
eth0: PACKET SNIFFER(/sbin/dhclient3[5682]) ← ここの部分の表示がエラー?

上記は推察の通り、DHCP Clientが起動していると警告出力になります。

momonga による投稿:

2.rkhunterによる検査

翻訳ソフトで翻訳した結果、隠しファイルとディレクトリがないかどうかチェックするという
内容の部分でWarning表示になっています。

sudo rkhunter -c --createlogfile --skip-keypress

Performing filesystem checks
    Checking /dev for suspicious file types     [ None found ]
    Checking for hidden files and directories   [ Warning ] ← ここの部分の表示がエラ

/var/log/rkhunter.logを見ないと何とも言えませんが、chkrootkitと同じく、
隠しファイルの警告です。特に何かの感染が疑われるわけではありません。

オフライン

 

 

ページ: 1

Board footer

Powered by FluxBB