このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/01/31(Tue) 14:41
名前: MIKITA
URL:
いつも貴重な情報をありがとうございます。
MIKITAと申します。
一年ほど前から、CentOS 7を始めたばかりの初心者です。
どうぞよろしくお願いします。

使用環境
OS: CentOS relese 7.3.1611
Clam AntiVirusのバージョン: ClamAV 0.98.4/22972/Tue
です。

先日、稼働して1年程が経つサーバーの毎日実行している Clam AntiVirus のウイルススキャン自動実行スクリプトが下記のメッセージをメールにて送ってきました。

subject: Virus Found in ホスト名

body: /usr/bin/systemd-nspawn: Unix.Trojan.Mirai-5607459-1 FOUND

調査の結果、不正確セスを受けている痕跡もないし、侵入されて改竄されているような形跡もないことから Clam AntiVirus の誤検知と判断しました。

翌日、今度は「Anacron job 'cron.daily' on ホスト名」定期自動実行の際に、下記メッセージがメールにて送信されてきました。

subject: Anacron job 'cron.daily' on ホスト名

body: /etc/cron.daily/chkrootkit:

/etc/cron.daily/chkrootkit: 21 行: [: /usr/bin/systemd-nspawn: 二項演算子が予期されます

メッセージから推測するに、前日の Clam AntiVirus が定期実行された際に、systemd-nspawn ファイルを誤検知してコマンドごと削除されてしまったようで、該当ディレクトリをチェックしたところ、systemd-nspawn が削除されていました。
そこで、同じOS(CentOS 7)を使う別のシステムから systemd-nspawn を該当ディレクトリにコピーして、実行権限を755に設定し、様子を見たところ再び下記メッセージが届きました。

subject: Anacron job 'cron.daily' on ホスト名

body: /etc/cron.daily/chkrootkit:

/etc/cron.daily/chkrootkit: 21 行: [: .......T.: 二項演算子が予期されます

「/usr/bin/systemd-nspawn」の記述はなくなっているものの、「二項演算子が予期されます」のメッセージは、相変わらず送られてきました。
systemd-nspawn が、Clam AntiVirus に削除されたので、「Anacron job 'cron.daily'」が、chkrootkitの不具合を検知したのだろうと思いますが、修正の仕方がわからず苦慮しています。
メッセージによれば、chkrootkit の21行目、「upstartパッケージ更新時のSuckit誤検知対応」の問題がありこのメッセージを出力していると思うのですが、なにぶん初心者で意味が掴めません。

そこで、下記のような質問をさせてください。

1.Clam AntiVirus による強制削除されたコマンド・ファイルの復元方法?

2.systemd-nspawn ファイルを別のシステムからコピーしてきても問題ないか?
  できないのであれば、どのように修正(復元)すべきか?

3.上記の「Anacron job 'cron.daily'」が送信するメッセージの解決方法(メッセージを送らないようにする)

以上の3点についてご助言のほど宜しくお願いいたします。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/01/31(Tue) 14:53
名前: 管理人
URL:
MIKITA様

>1.Clam AntiVirus による強制削除されたコマンド・ファイルの復元方法?
>2.systemd-nspawn ファイルを別のシステムからコピーしてきても問題ないか?
>  できないのであれば、どのように修正(復元)すべきか?
yum reinstall systemdで再インストールできます。

>3.上記の「Anacron job 'cron.daily'」が送信するメッセージの解決方法(メッセージを送らないようにする)
再インストールにより解決します。

以上です。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/01/31(Tue) 14:57
名前: 管理人
URL:
>>3.上記の「Anacron job 'cron.daily'」が送信するメッセージの解決方法(メッセージを送らないようにする)
>再インストールにより解決します。
あわせて、/etc/cron.daily/chkrootkitの以下の部分を修正してください。

# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $TMPLOG)" ] && \
[ -z "$(rpm -V `rpm -qf /sbin/init`)" ]; then ←"で囲む
sed -i '/Suckit/d' $TMPLOG
fi
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/01/31(Tue) 15:18
名前: MIKITA
URL:
管理人さま

早速のお返事ありがとうございます。
yum reinstall systemdで再インストールできるのですね!?
早速試してみます。
合わせて、chkrootkit の修正もおこなってみます。

ご助言、誠にありがとうございました。
あらためましてお礼申し上げます。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/01/31(Tue) 15:33
名前: 管理人
URL:
MIKITA様

ClamAVによる誤検知を考慮して削除しないようにしました。
下記の「■ウイルススキャン定期自動実行設定」を参照ください。
https://centossrv.com/clamav-centos7.shtml
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/01/31(Tue) 16:28
名前: MIKITA
URL:
管理人さま

MIKITAと申します。
重ね重ねのお返事誠にありがとうございます。

「ウイルススキャン定期自動実行設定」の更新誠にありがとうございます。
早速、該当サーバーにて試してみます。
あらためまして厚くお礼申し上げます。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/02/01(Wed) 02:45
名前: MIKITA
URL:
管理人さま

MIKITAと申します。
「ウイルススキャン定期自動実行設定」のスクリプトを確認して気が付いたのですが、以前あった「yum -y update clamd > /dev/null 2>&1」が無くなっていました。
たぶんスクリプトが実行されたときに「Clam AntiVirus」の本体をアップデートする記述だと思ったのですが、間違えていたらゴメンんさい。
この記述は、必要なくなったのでしょうか?
確認させてください。
宜しくお願いします。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/02/01(Wed) 14:26
名前: aaa
URL:
MIKITAさん
以前のここのやり方はrpmforgeのパッケージを使ってClam AntiVirusを動かしていた。
しかし、去年の9月にrpmforgeがなくなってしまった。

https://centossrv.com/patio/centossrv.cgi?read=3001&ukey=0

ここの作り方もepelを作ったやり方に変更になりました。
今のepelだとパッケージのバージョンアップがあった場合
yum-cronで勝手にバージョンアップするようになってます。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/02/01(Wed) 15:00
名前: MIKITA
URL:
管理人さま

早速のお返事ありがとうございます。
MIKITAと申します。

去年の9月の時点でrpmforgeが既に終了していたのですね?
epelだと自動で本体のアップデートをおこなえるのであれば、わざわざスクリプトに記述する必要もなく楽ですね。
とても勉強になりました。

昨日、「ウイルススキャン定期自動実行設定」のスクリプトを書き換えて、yum reinstall systemdで、systemd-nspawn の再インストールも出来ました。
さらに、chkrootkit を書き換えて本日からエラーメールも届かなくなりました。
yum reinstall オプションがあることに気が付かず、とても勉強になりました。

これからも、こちらを利用してさらに勉強させていただこうと思います。
管理人さまには、いろいろご助言いただき本当にありがとうございました。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/02/01(Wed) 15:18
名前: aaa
URL:
MIKITAさん

自分は管理人様ではありません。
問題なくうごいてるようですが、
rpmforgeがなくなったので
MIKITAさんのClamAV 0.98.4はこれ以上バージョンアップしませんのでご注意ください。
記事編集 編集
Re: Clam AntiVirusとchkrootkitの誤検知について このメッセージに返信する
日時: 2017/02/02(Thu) 00:25
名前: MIKITA
URL:
aaaさま

MIKITAと申します。
お名前を勘違いして大変申し訳ありませんでした。

まずは当方のシステムに EPELリポジトリを導入して Clam AntiVirus を再インストールし様子をみます。
いろいろ勉強になり大変感謝しております。
これからもどうぞよろしくお願いいたします。

あらためまして、aaaさまありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -