chkrootkit

Patrys :: Patryk Zawadzki patrys at pld-linux.org
Mon Aug 15 15:22:47 CEST 2005 

Dnia 15-08-2005, pon o godzinie 14:53 +0200, Kamil Jakubowski
napisał(a):
> no wy mi chyba nie wierzycie a sprawdzic nie ma komu
> wiec zalaczam debuga.

Czego sprawdzić? Skoro uważasz, że jest źle, to dlaczego i jak powinno
być dobrze. Skoro chcesz raportować buga, to jakie jest twoim zdaniem
prawidłowe zachowanie?

> nie wiem jakim cudem wywoluje rbasha ale to robi.

Przechodzi po wszystkich powłokach i sprawdza każdą.

> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/rbash.*'
> /bin/egrep[2]: /bin/grep: restricted
> /bin/egrep[2]: /bin/grep: restricted

> i od tego miejsca kaszana

Nie widzę tej kaszany.

> + '[' -r /etc/shells ']'
> ++ cat /etc/shells
> ++ /bin/egrep -v '^#'
> + SHELLS=/bin/ksh
> /bin/sh
> /bin/tcsh
> /bin/csh
> /bin/zsh
> /bin/bash
> /bin/rbash
> + '[' -r /etc/inetd.conf ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/ksh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/sh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/tcsh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/csh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/zsh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/bash.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/rbash.*'
> /bin/egrep[2]: /bin/grep: restricted
> /bin/egrep[2]: /bin/grep: restricted

Tutaj ponoć jest kaszana - ja widzę tylko dwa komunikaty o braku
uprawnień do egrepa. Całkiem słuszne.

> + '[' 1 -ne 1 ']'
> + return 1
> + STATUS=1
> + '[' '' = t ']'
> + echo 'not infected'

A wynik jest prawidłowy.

[...] - dalej normalne sprawdzanie binarek

-- 
Patrys :: Patryk Zawadzki <patrys at pld-linux.org>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: </mailman/pipermail/pld-devel-pl/attachments/20050815/31e1e278/attachment.sig>

More information about the pld-devel-pl mailing list