rootkitとはバックドアをサポートする悪意を持った
プログラムキットで、第三者にこいつを埋め込まれると
非常に厄介なことになります。
このrootkitが埋め込まれたことを感知するための
セキュリティソフトがchkrootkitです。
本日サーバーのchkrootkitからこんなレポートが。
Checking `bindshell’… INFECTED (PORTS: 23132)
つまりポート23132を使っているプロセスで
rootkitを感知したという意味ですね。^^;;
ん?23132??そんなポート使ってないって。
なんて考えていないでサッサと調べましょ。
chkrootkitは感知するだけで除去はしませんので。
もう一度チェックしてINFECTEDになっている
部分だけを抽出してみます。
# chkrootkit | grep INFECTED
おや、
Checking `bindshell’… INFECTED (PORTS: 23132)
と出てくるはずが出てこない。。
じゃあポート23132はどのプロセスが利用している?
# lsof -i -P | grep 23132
# netstat -anp | grep 23132
う〜ん、使っていませんねぇ。
実はこのchkrootkit、ごく稀に誤検出があったりして
実際にプロセスが利用しているサービスポート番号が
リポートされた場合はそのプロセスを再起動すれば
誤検出しなくなることがほとんどです。
今回のように全く利用していないポート番号を
リポートされたのは初めてですが、いくら調べても
異常はないし、以降のリポートが無いのでこれも
きっと誤検出なのでしょう。
