Em 29/09/05, Mauricio Merlin<[EMAIL PROTECTED]> escreveu: > Pessoal, > > Rodei o chkrootkit na minha maquina e apareceu a seguinte linha: > Checking `bindshell'... INFECTED (PORTS: 1008) > o que isso significa?? procurei mas naum consegui resposta.. > > obrigado..
Se você não estiver infectado de verdade, é possível que o chkrootkit esteja confundindo o fato da porta 1008 estar "aberta" com um comportamento do bindshell. É possível que algum programa "maledeto" esteja ouvindo nessa porta. Geralmente isso ocorre com conexões RPC. Para saber se algum processo RPC está utilizando esta porta, execute: # rpcinfo -p Devo lembrar que os resultados só devem ser levados em consideração caso seu sistema não esteja realmente infectado. Se não achar o "dono" da porta 1008 (mesmo com um "netstat -nlvptu4") tente rodar novamente o chkrootkit. Também já ororreu comigo do chkrootkit levantar esse falso positivo do bindshell quando o chkrootkit é executado pelo tiger. -- Marcos S. Trazzini => [EMAIL PROTECTED]
