chkrootkit
Patrys :: Patryk Zawadzki
patrys w pld-linux.org
Pon, 15 Sie 2005, 15:22:47 CEST
Dnia 15-08-2005, pon o godzinie 14:53 +0200, Kamil Jakubowski
napisał(a):
> no wy mi chyba nie wierzycie a sprawdzic nie ma komu
> wiec zalaczam debuga.
Czego sprawdzić? Skoro uważasz, że jest źle, to dlaczego i jak powinno
być dobrze. Skoro chcesz raportować buga, to jakie jest twoim zdaniem
prawidłowe zachowanie?
> nie wiem jakim cudem wywoluje rbasha ale to robi.
Przechodzi po wszystkich powłokach i sprawdza każdą.
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/rbash.*'
> /bin/egrep[2]: /bin/grep: restricted
> /bin/egrep[2]: /bin/grep: restricted
> i od tego miejsca kaszana
Nie widzę tej kaszany.
> + '[' -r /etc/shells ']'
> ++ cat /etc/shells
> ++ /bin/egrep -v '^#'
> + SHELLS=/bin/ksh
> /bin/sh
> /bin/tcsh
> /bin/csh
> /bin/zsh
> /bin/bash
> /bin/rbash
> + '[' -r /etc/inetd.conf ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/ksh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/sh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/tcsh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/csh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/zsh.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/bash.*'
> + '[' 1 -ne 1 ']'
> + cat /etc/inetd.conf
> + /bin/egrep -v '^#'
> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/rbash.*'
> /bin/egrep[2]: /bin/grep: restricted
> /bin/egrep[2]: /bin/grep: restricted
Tutaj ponoć jest kaszana - ja widzę tylko dwa komunikaty o braku
uprawnień do egrepa. Całkiem słuszne.
> + '[' 1 -ne 1 ']'
> + return 1
> + STATUS=1
> + '[' '' = t ']'
> + echo 'not infected'
A wynik jest prawidłowy.
[...] - dalej normalne sprawdzanie binarek
--
Patrys :: Patryk Zawadzki <patrys w pld-linux.org>
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
Url : /mailman/pipermail/pld-devel-pl/attachments/20050815/31e1e278/attachment.bin
Więcej informacji o liście dyskusyjnej pld-devel-pl