このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

chkrootkit-0.52 について このメッセージに返信する
日時: 2017/04/12(Wed) 18:25
名前: 大熊猫
URL:
いつもお世話になっております。

新規のサーバーの立ち上げに際しまして「rootkit検知ツール導入(chkrootkit)」を行ないましたところ、インストールされるchkrootkitが0.52にバージョンアップされており、初回の検知で下記の結果が出ました。

[root@localhost ~]# chkrootkit | grep INFECTED
Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed

Rootkit HunterにXOR.DDoS用のパッチを当てて検知したところ、検知はされませんでした。

念のため、LANケーブルを刺さずに再インストールし、「net-tools-2.0-0.17.20131004git.el7.x86_64.rpm」と「chkrootkit.tar.gz」のみをUSBで別PCをからコピーして検知を行ないましたが同様の結果でした。

上の2点から誤検知と判断していますが、問題ないでしょうか?


また、問題ない場合には「chkrootkit実行スクリプト」がこの検知についてのメールを送信しないようにするにはどう修正する必要があるでしょうか?

以上2点につき教えていただきたく、よろしくお願い致します。

現在の環境は下記の通りです。
CentOS Linux release 7.3.1611 (Core)
chkrootkit version 0.52
記事編集 編集
Re: chkrootkit-0.52 について このメッセージに返信する
日時: 2017/04/13(Thu) 10:00
名前: stranger
URL: http://ja.528p.com/
chrootkitもrkhunterもスクリプトらしいから

chrootkitのXOR.DDoSに該当する部分

603: ## Linux/Xor.DDoS
604: exportmode_output "${find} ${ROOTDIR}tmp -executable -type f"
605: exportmode_output "${find} ${ROOTDIR}etc/cron.hourly"

1219: ## Linux/Xor.DDoS
1220: if [ "${QUIET}" != "t" ]; then
1221: printn "Searching for Linux.Xor.DDoS ... "; fi
1222: files="`${find} ${ROOTDIR}tmp/ ${findargs} -executable -type f 2> /dev/null`"
1223: if [ "${files}" = "" ]; then
1224: files="`${ls} ${ROOTDIR}etc/cron.hourly/udev.sh 2> /dev/null`"
1225: if [ "${files}" = "" ]; then
1226: if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
1227: else
1228: echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
1229: fi
1230: else
1231: echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
1232: echo "${files}"
1233: fi

$ sudo find /tmp -executable -type f
を実行してみてなにか表示されれば怪しいファイルなんでしょう
怪しいファイルでなければ
! -name ファイル名 をスクリプトに入れてしまう

exportmode_output "${find} ${ROOTDIR}tmp -executable -type f ! -name ファイル名"

または上記数字の部分(行番号です)を#でコメント扱いにしてします
(無効にしてしまう)
記事編集 編集
Re: chkrootkit-0.52 について このメッセージに返信する
日時: 2017/04/13(Thu) 17:54
名前: 大熊猫
URL:
strangerさん

回答ありがとうございます。コマンドを試してみた所下記のような結果でした。

[root@localhost ~]# find /tmp -executable -type f
/tmp/ks-script-qWOUrE

[root@localhost ~]# ls -Z /tmp | grep ks-script-qWOUrE
-rwx------. root root system_u:object_r:initrc_tmp_t:s0 ks-script-qWOUrE

[root@localhost ~]# cat /tmp/ks-script-qWOUrE

restorecon -ir /etc/sysconfig/network-scripts /var/lib /etc/lvm \
/dev /etc/iscsi /var/lib/iscsi /root /var/lock /var/log \
/etc/modprobe.d /etc/sysconfig /var/cache/yum /etc/yum

# Also relabel the OSTree variants of the normal mounts (if they exist)
restorecon -ir /var/roothome /var/home /var/opt /var/srv /var/media /var/mnt

restorecon -i /etc/rpm/macros /etc/dasd.conf /etc/zfcp.conf /lib64 /usr/lib64 \
/etc/blkid.tab* /etc/mtab /etc/fstab /etc/resolv.conf \
/etc/modprobe.conf* /var/log/*tmp /etc/crypttab \
/etc/mdadm.conf /etc/sysconfig/network /root/install.log* \
/etc/*shadow* /etc/dhcp/dhclient-*.conf /etc/localtime \
/etc/hostname /root/install.log*

if [ -e /etc/zipl.conf ]; then
restorecon -i /etc/zipl.conf
fi

以上

restoreconしているだけのようですので問題なさそうです。
findも/tmpにある実行権限のあるファイルを上げてるだけのようですので誤検知と判断します。

対策としては提案いただいている他に/tmpにある実行権限のあるファイルを定期的に削除することも考えられると思いますが、問題あるでしょうか?
記事編集 編集
Re: chkrootkit-0.52 について このメッセージに返信する
日時: 2017/04/14(Fri) 07:51
名前: stranger
URL: http://ja.528p.com/
ks-script-qWOUrE
kickstartに関するファイルのようですが
どのように使われているかはよくわかりません

私のcentos7のデスクトップにはks-scriptファイルはありません
記事編集 編集
Re: chkrootkit-0.52 について このメッセージに返信する
日時: 2017/04/14(Fri) 14:18
名前: 大熊猫
URL:
strangerさん

回答ありがとうございます。

chmod -x で実行権限を消すと検知されなりましたので、しばらくこれで様子を見ようかと思います。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -