日時： 2010/05/04 15:33
名前： ARK
URL：

先日より、tripwireの調子が悪く、自動チェックが行われメールが来ている日と、来ない日がありました。
メールが来ない日も手動でチェックすれば、レポートが表示されていたので、いちいち手動でチェックしていたのですが、先月末から、手動でもチェックが行えなくなりました。
Cronから送られてくるエラーメールは、日によってメッセージが違います。

２種類あり、１つは
　### Error: A bad index was encountered in file.
　### Exiting...

もう１つは
　Software interrupt forced exit: Segmentation Fault
　Null message body; hope that's ok

どこをどう修正すれば良いのか、分かりません。

因みに、
wcfg.txtでは
DBFILE=/usr/local/tripwire/lib/tripwire/$(HOSTNAME).twd
twpol.txt では
TWDB="/usr/local/tripwire/lib/tripwire";
となっており、
keyもちゃんと存在しております。

ご教示ください。

日時： 2010/05/04 17:15
名前： stranger
URL： http://ja.528p.com/

ファイルが改竄された形跡はありませんか
rkhunterをいれている場合、rkhunterの方は正常ですか

管理者権限でプロセス数を確かめる
procファイルを改竄することは難しいので、プロセス数を比較して変化を確かめる

# ls -d /proc/* | grep [0-9] | wc -l
# ps ax | wc -l

極端に数値が異なる場合は危険

tripwireの方は
データベース作成の工程をもう一度行ってみる、新しいDBファイルが作成されるので様子をみる

日時： 2010/05/04 17:56
名前： ARK
URL：

早速、ご教示頂きありがとうございます。

ファイルの改竄は、されていないと思うのですが、
logwatchレベルで見ている程度です。

また、rkhunterではなく、chkrootkitを使っているのですが、
「INFECTED」とは、表示されません。

# ls -d /proc/* | grep [0-9] | wc -l
# ps ax | wc -l

上記２コマンドとも、同数を返します。

尚、
tripwireのデータベース作成の工程を再度行い、
チェックの実行を行ってみましたが、
モニターには、やはり

　### Error: A bad index was encountered in file.
　### Exiting...

と表示されるだけです。

何か、他に手立てがございますか？
お知恵をお貸し下さいませ。