[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:17204] Re: chkrootkit-0.38 says netstat on a Plamo-3.0is INFECTED
-
From:KAWAMATA Yoshihiro
-
Date:Sat, 28 Dec 2002 22:50:31 +0900 (JST)
- Subject: [plamo:17204] Re: chkrootkit-0.38 says netstat on a Plamo-3.0is INFECTED
- From: KAWAMATA Yoshihiro <kaw@xxxxxxxxxxxx>
- Date: Sat, 28 Dec 2002 22:50:23 +0900 (JST)
川俣です、調べてみました。
From: KOJIMA <kojima@linet.gr.jp>
Subject: [plamo:17203] Re: chkrootkit-0.38 says netstat on a Plamo-3.0 is INFECTED
Date: Sat, 28 Dec 2002 22:32:35 +0900 (JST)
> Que さんもおっしゃっているように,インストール直後ということなので,
> n1/tcpip.tgz にある netstat 自体が chkrootkit-0.38 では引っかかる,と
> いうことなんでしょう.
>
> 何をもって "INFECTED" と判定しているのかが不明なので何とも言えないので
> すが,netstat 自体は nettools の中にあって,手元でコンパイルしてパック
> した記憶があるので,多分大丈夫なんじゃないかなぁ..
netstatの検査は、シェルスクリプト chkrootkit-0.38/chkrootkit の中の
chk_netstat という関数の中でやっていました。
chk_netstat () {
STATUS=${NOT_INFECTED}
NETSTAT_I_L="/dev/hdl0/dev/xdta|/dev/ttyoa|/dev/pty[pqrsx]|/dev/cui|/dev/hdn0|/dev/cui221|/dev/dszy|/dev/ddth3|/dev/caca|/prof|/dev/tux|grep|addr\.h"
CMD=`loc netstat netstat $pth`
if [ "${EXPERT}" = "t" ]; then
expertmode_output "${strings} -a ${CMD}"
return 5
fi
if ${strings} -a ${CMD} | ${egrep} "${NETSTAT_I_L}" \
>/dev/null 2>&1
then
STATUS=${INFECTED}
fi
return ${STATUS}
}
このスクリプトは、netstat を egrep して判定を行っているようです。
手動で同じことをやってみました。
$ strings -a /bin/netstat | egrep -Ui '/dev/hdl0/dev/xdta|/dev/ttyoa|/dev/pty[pqrsx]|/dev/cui|/dev/hdn0|/dev/cui221|/dev/dszy|/dev/ddth3|/dev/caca|/prof|/dev/tux|grep|addr\.h'
/usr/include/bits/sockaddr.h
ということですので、netstat に含まれている
/usr/include/bits/sockaddr.h というバイト列が素性の判っているものなら
ば問題なくて、単に chkrootkit の誤検知だと判断して良いのではないでしょ
うか。
これ以上の調査はソースコードがあったほうがいいようですね。
----
川俣
- References
-
- [plamo:17201] chkrootkit-0.38 says netstat on a Plamo-3.0 is INFECTED, Que
- [plamo:17202] Re: chkrootkit-0.38 says netstat on a Plamo-3.0 isINFECTED, KAWAMATA Yoshihiro
- [plamo:17203] Re: chkrootkit-0.38 says netstat on a Plamo-3.0is INFECTED, KOJIMA
[検索ページ]
[メール一覧]
Plamo ML 公開システム