私はDebian LinuxシステムでTiger自動監査プログラムを実行しており、最近次の電子メールを受け取りました。
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)
すぐにchkrootkitを手動で実行しましたが、警告や異常な結果は表示されませんでした。これが偽の肯定であるかどうかはどうすればわかりますか?
答え1
確認すると、ポート600で何も実行されていないことがわかりました。もっと詳しく見ると、次のようになります。ランダムにポートを選択するrpc.statdによる偽の肯定。
答え2
私が最初にしたことは、ポート600で何が実行されているかを確認することでした。
netstat --all --numeric-ports --program |grep 600
何かが間違っていると仮定すると、Googleは他の人が誤検知またはソフトウェア関連の問題を報告したことを確認します。それ以外の場合は、他のログを調べて損傷の証拠があるかどうかを確認してください。