chkrootkit
http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html#system

投稿者:alpexterm

Plamo4.02を新規にインストールして chkrootkitでチェックをしたところ、下記のような警告メッセージが出ますが皆さんのところでは問題はないでしょうか? 
 ~# ./chkrootkit
 …………
 Checking `lkm'... You have 4 process hidden for ps command
 chkproc: Warning: Possible LKM Trojan installed
 …

---------------

投稿者:kojima

ざっと見た感じ、chkproc でプロセス ID に出てこないプロセスが "hidden" プロセスと~
見なされて Trojan ではないかとチェックされているみたいだけど、手もとで試したところでは~

 bash-3.00# ./chkproc -v
 PID     3: not in ps output
 PID     4: not in ps output
 PID     5: not in ps output
 PID     6: not in ps output
 You have     4 process hidden for ps command

という結果になり、3から6 のプロセスは

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:04 init [3]  
    2 ?        SW     0:09 [keventd]
    0 ?        SWN    0:00 [ksoftirqd_CPU0]
    0 ?        SW    31:11 [kswapd]
    0 ?        SW     0:00 [bdflush]
    0 ?        SW     0:19 [kupdated]
    7 ?        SW     0:00 [kreiserfsd]
 
ということで、カーネル内部のスレッドだから、false alarm ということで間違いないと思います。
多分、ps コマンドが古くて、カーネルの内部スレッドをプロセスとしてきちんと検出できてない
(あるいは本来検出すべきでないものを検出してしまっている)
のが原因じゃないかな?

//
-そういうことも一つの原因として考えられるということなんでしょうかね。
kojimaさん、早速の書き込みありがとうございます。私は、Plamo1.4.xのときからの一PlamoファンでメインのOSとして使用しております。某BBSのハンドルネーム silver55pegnさんがchkrootkitで「何やら怪しい気配」とのご指摘がありサーバで使うのはチョット恐いということで、PlamoのMLを覗いてみても誰も話題にしてないもようとのことでしたので私が代わりにこのwikiに持ち出してみました。-- [[alpexterm]] &new{2005-05-14 (土) 08:36:34};
-自宅のマシンのうちとりあえず2台やってみたのですが noting ばかりでしたカーネルを2.6.11.9に上げてしまっている,Plamo4.02リリース後の更新を全て適用しているので反応してはまずいかなとも思いましたが? -- [[名倉]] &new{2005-05-14 (土) 09:47:15};
-上記の問題は 2.4 系カーネルに限定されるみたい。2.6 系カーネルだと、カーネル内部のスレッドもPIDが振られるので引っかからないようです。というよりも、この問題(?)は chkproc -v でどのプロセスが見えないのかを確認すればいいだけで、カーネル以外に隠れたプロセスが無ければ問題ないのでは? -- [[kojima]] &new{2005-05-14 (土) 10:18:05};
-別のデュアルブーートマシン(2.6.12-rc2,2.4.31-pre1選択可能)でやってみましたおっしゃるとおり2.6.x系では出ませんが2.4.x系では再現します。 -- [[名倉]] &new{2005-05-14 (土) 13:15:28};

#comment
----
#topicpath

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS