[plamo:17204] Re: chkrootkit-0.38 says netstat on a Plamo-3.0is INFECTED

[KAWAMATA Yoshihiro]

川俣です、調べてみました。

From: KOJIMA <kojima@linet.gr.jp>
Subject: [plamo:17203] Re: chkrootkit-0.38 says netstat on a Plamo-3.0 is INFECTED
Date: Sat, 28 Dec 2002 22:32:35 +0900 (JST)

> Que さんもおっしゃっているように，インストール直後ということなので，
> n1/tcpip.tgz にある netstat 自体が chkrootkit-0.38 では引っかかる，と
> いうことなんでしょう．
> 
> 何をもって "INFECTED" と判定しているのかが不明なので何とも言えないので
> すが，netstat 自体は nettools の中にあって，手元でコンパイルしてパック
> した記憶があるので，多分大丈夫なんじゃないかなぁ．．

netstatの検査は、シェルスクリプト chkrootkit-0.38/chkrootkit の中の
chk_netstat という関数の中でやっていました。

chk_netstat () {
    STATUS=${NOT_INFECTED}
NETSTAT_I_L="/dev/hdl0/dev/xdta|/dev/ttyoa|/dev/pty[pqrsx]|/dev/cui|/dev/hdn0|/dev/cui221|/dev/dszy|/dev/ddth3|/dev/caca|/prof|/dev/tux|grep|addr\.h"
    CMD=`loc netstat netstat $pth`

    if [ "${EXPERT}" = "t" ]; then
        expertmode_output "${strings} -a ${CMD}"
        return 5
    fi

    if ${strings} -a ${CMD} | ${egrep} "${NETSTAT_I_L}" \
    >/dev/null 2>&1
    then
       STATUS=${INFECTED}
    fi
    return ${STATUS}
}

  このスクリプトは、netstat を egrep して判定を行っているようです。
手動で同じことをやってみました。

  $ strings -a /bin/netstat | egrep -Ui '/dev/hdl0/dev/xdta|/dev/ttyoa|/dev/pty[pqrsx]|/dev/cui|/dev/hdn0|/dev/cui221|/dev/dszy|/dev/ddth3|/dev/caca|/prof|/dev/tux|grep|addr\.h'
  /usr/include/bits/sockaddr.h

ということですので、netstat に含まれている 
/usr/include/bits/sockaddr.h というバイト列が素性の判っているものなら
ば問題なくて、単に chkrootkit の誤検知だと判断して良いのではないでしょ
うか。
  これ以上の調査はソースコードがあったほうがいいようですね。
----
川俣