chkrootkit report

rootkitとはバックドアをサポートする悪意を持った
プログラムキットで、第三者にこいつを埋め込まれると
非常に厄介なことになります。
このrootkitが埋め込まれたことを感知するための
セキュリティソフトがchkrootkitです。

本日サーバーのchkrootkitからこんなレポートが。

Checking `bindshell’… INFECTED (PORTS: 23132)

つまりポート23132を使っているプロセスで
rootkitを感知したという意味ですね。^^;;
ん?23132??そんなポート使ってないって。
なんて考えていないでサッサと調べましょ。
chkrootkitは感知するだけで除去はしませんので。

もう一度チェックしてINFECTEDになっている
部分だけを抽出してみます。

# chkrootkit | grep INFECTED

おや、
Checking `bindshell’… INFECTED (PORTS: 23132)
と出てくるはずが出てこない。。

じゃあポート23132はどのプロセスが利用している?

# lsof -i -P | grep 23132
# netstat -anp | grep 23132

う〜ん、使っていませんねぇ。

実はこのchkrootkit、ごく稀に誤検出があったりして
実際にプロセスが利用しているサービスポート番号が
リポートされた場合はそのプロセスを再起動すれば
誤検出しなくなることがほとんどです。
今回のように全く利用していないポート番号を
リポートされたのは初めてですが、いくら調べても
異常はないし、以降のリポートが無いのでこれも
きっと誤検出なのでしょう。