chkrootkit

[Patrys :: Patryk Zawadzki]

Dnia 15-08-2005, pon o godzinie 23:01 +0200, Radoslaw Zielinski
napisał(a):
> Patrys :: Patryk Zawadzki <patrys w pld-linux.org> [15-08-2005 15:22]:
> > Dnia 15-08-2005, pon o godzinie 14:53 +0200, Kamil Jakubowski
> > napisał(a):
> [...]
> >> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/bash.*'
> >> + '[' 1 -ne 1 ']'
> >> + cat /etc/inetd.conf
> >> + /bin/egrep -v '^#'
> >> + /bin/egrep '^.*stream.*tcp.*nowait.*/bin/rbash.*'
> >> /bin/egrep[2]: /bin/grep: restricted
> >> /bin/egrep[2]: /bin/grep: restricted
> > Tutaj ponoć jest kaszana - ja widzę tylko dwa komunikaty o braku
> > uprawnień do egrepa. Całkiem słuszne.
> 
> Żadnych ,,uprawnień do egrepa'' i żadne słuszne.

Pisząc o uprawnieniach miałem na myśli obcięcie restrykcyjne ze względu
na ścieżkę przez rbasha.

> Powód: w pętli jest "for SHELL in ${SHELLS}", egrep widzi w środowisku
> zmienną SHELL ustawioną na /bin/rbash, dlatego marudzi.  Pomoże zmiana
> nazwy zmiennej.

To najprostsze rozwiązanie.

> Albo rpm -e chkrootkit.
> 
> [...]
> >> + echo 'not infected'
> > A wynik jest prawidłowy.
> 
> Nie jest, jeśli w /etc/inetd.conf masz backdoora z użyciem /bin/rbash
> (pasującego do tego regexpa), nie zostanie znaleziony.

Ja pisałem w kontekście tego, że autor patcha chciał zastąpić całe
przejście przez pętlę jednym returnem (vide wątek), a na pytanie o błędy
mówił o "kaszanieniu" i sypaniu błędami po ekranie. To jest raczej
normalny wynik działania skryptu.

Jeszcze jedna prośba - przerwałem korespondencję, bo mam dość dyskusji,
gdzie połowa odpowiedzi idzie na listę, a połowę autor mi na priva
odsyła. Jak dostanę z listy odpowiedź na priv i nie jest ona off-topic,
to nie odpisuję i tyle.

-- 
Patrys :: Patryk Zawadzki <patrys w pld-linux.org>
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
Url : /mailman/pipermail/pld-devel-pl/attachments/20050815/3722608d/attachment.bin