2012/7/19 Lech Pankowski <[email protected]>: > Na serwerze z Debianem 6.04 co tydzień uruchamiany jest chkrootkit, a wynik
chkrootkit to użyteczne, ale dość głupiutkie stworzonko, lubi "false positive". > dopisywany do zbiorczego logu. Przyznaję ze wstydem, że przeglądałem go > Od 29.04 do 13.05 tego roku pojawiały się komunikaty: > > Checking `bindshell'... INFECTED (PORTS: 1080) A miałeś coś otwarte na porcie 1080? chkrootkit sprawdza czy coś nasłuchuje na konkretnych portach. > Teraz ich nie ma. Jeśli masz serwisy losujące porty (jak NFS na przykład) to mogło samo pojawić się i zniknąć, zwłaszcza jeśli były restarty. > Poza tym przy każdym sprawdzaniu pojawia się komunikat: > > Searching for anomalies in shell history files... Warning: > `//root/.githistory' file size is zero Komunikat się pojawia, bo ciągle masz zerowej długości plik historii, więc zgodnie z logiką chkrootkita, ktoś mógł go wyczyścić, by ukryć niecne postępki. Jest to zatem anomalia. Jeszcze większą anomalią jest używanie gita z roota. Jeśli jednak nie używałeś gita jako root (wskazane), to nie dziwne, że jest pusty. > Czy mógłbym prosić o komentarz dotyczący ich, tzn. czy są powody do > niepokoju, czy warto coś zrobić itp. Poza tym co to za plik '.githistory', > czy to ma jakiś związek z systemem kontroli wersji? No pewnie ma. Nie zwróciłem uwagi, czy taka historia tworzona jest zawsze. Skasowałbym. -- Tomasz Kundera -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/CAOsnoKddfqGncOFLPNNc4eCOAQoPvXgu5JB1a=7wqxhntdd...@mail.gmail.com
