Help us understand the problem. What is going on with this article?

chkrootkit 誤検知の対応方法

More than 5 years have passed since last update.

経緯

Linuxサーバを管理していて、サーバに導入されているchkrootkitから毎日メールが届く。

件名:chkrootkit report in hostname
本文:Checking `bindshell'... INFECTED (PORTS:  番号)

調べてみると誤検知しているようだが、常にメールを確認する者としては何とかしたいと思っていた。

対策(CentOSの場合)

この誤検知は該当ポートを使用しているプロセスを再起動すればよいとの情報を聞いたので、その方法を共有したい。
(注意:再起動してよいプロセスであるか、確認して実施して下さい。)

・サーバにログインして再度確認

# chkrootkit | grep INFECTED
Checking `bindshell'... INFECTED (PORTS:  番号)

実際に出力されることを確認。

・該当ポートはどのプロセスが利用しているか確認。

# lsof -i -P | grep 番号
# netstat -anp | grep 番号

・実行されているプロセス名で再起動できるか確認

# ls /etc/init.d/

① そのプロセス名がある場合

# /etc/init.d/プロセス名 restart
# chkrootkit | grep INFECTED

出力されないことを確認。

② そのプロセス名がない場合

# /bin/grep プロセス名 /etc/init.d/*

/etc/init.d/プロセス名 と再起動するプロセスが表示される。

# /etc/init.d/プロセス名 restart
# chkrootkit | grep INFECTED

これで出力されず、メールも届かなくなると思います。

KoriCori
不動産業界からIT業界へ転向。 インフラエンジニアとして勉強中。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした