chkrootkit
Radoslaw Zielinski
radek42 w gmail.com
Pon, 15 Sie 2005, 23:01:42 CEST
Patrys :: Patryk Zawadzki <patrys w pld-linux.org> [15-08-2005 15:22]:
> Dnia 15-08-2005, pon o godzinie 14:53 +0200, Kamil Jakubowski
> napisał(a):
[...]
>> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/bash.*'
>> + '[' 1 -ne 1 ']'
>> + cat /etc/inetd.conf
>> + /bin/egrep -v '^#'
>> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/rbash.*'
>> /bin/egrep[2]: /bin/grep: restricted
>> /bin/egrep[2]: /bin/grep: restricted
> Tutaj ponoć jest kaszana - ja widzę tylko dwa komunikaty o braku
> uprawnień do egrepa. Całkiem słuszne.
Żadnych ,,uprawnień do egrepa'' i żadne słuszne.
Powód: w pętli jest "for SHELL in ${SHELLS}", egrep widzi w środowisku
zmienną SHELL ustawioną na /bin/rbash, dlatego marudzi. Pomoże zmiana
nazwy zmiennej.
Albo rpm -e chkrootkit.
[...]
>> + echo 'not infected'
> A wynik jest prawidłowy.
Nie jest, jeśli w /etc/inetd.conf masz backdoora z użyciem /bin/rbash
(pasującego do tego regexpa), nie zostanie znaleziony.
--
Radosław Zieliński <radek w pld-linux.org>
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 189 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-devel-pl/attachments/20050815/6885fc56/attachment.bin
Więcej informacji o liście dyskusyjnej pld-devel-pl