Posted at

chkrootkit 誤検知の対応方法

More than 5 years have passed since last update.


経緯

Linuxサーバを管理していて、サーバに導入されているchkrootkitから毎日メールが届く。

件名:chkrootkit report in hostname

本文:Checking `bindshell'... INFECTED (PORTS: 番号)

調べてみると誤検知しているようだが、常にメールを確認する者としては何とかしたいと思っていた。


対策(CentOSの場合)

この誤検知は該当ポートを使用しているプロセスを再起動すればよいとの情報を聞いたので、その方法を共有したい。

(注意:再起動してよいプロセスであるか、確認して実施して下さい。)

・サーバにログインして再度確認

# chkrootkit | grep INFECTED

Checking `bindshell'... INFECTED (PORTS: 番号)

実際に出力されることを確認。

・該当ポートはどのプロセスが利用しているか確認。

# lsof -i -P | grep 番号

# netstat -anp | grep 番号

・実行されているプロセス名で再起動できるか確認

# ls /etc/init.d/

① そのプロセス名がある場合

# /etc/init.d/プロセス名 restart

# chkrootkit | grep INFECTED

出力されないことを確認。

② そのプロセス名がない場合

# /bin/grep プロセス名 /etc/init.d/*

/etc/init.d/プロセス名 と再起動するプロセスが表示される。

# /etc/init.d/プロセス名 restart

# chkrootkit | grep INFECTED

これで出力されず、メールも届かなくなると思います。