rootkit検知時のみroot宛にメール送信するようになってるが、今朝、Cron
Searching for Suckit rootkit… Warning: /sbin/init INFECTED
調べてみると、リブートしたら検知されなくなったという書き込みがあるので、とりあえずリブートして、rootkitのチェックを行う。
[root@server1 ~]# chkrootkit | grep INFECTED [root@server1 ~]#
なにも検知されない。
メインサーバと予備サーバで、md5sum /sbin/initのコマンドを実行したところ、結果は全く同じで、INFECTEDされたような形跡はどうも無いようだ。
メインサーバ [root@server1 ~]# md5sum /sbin/init 5fff3eac49eecf6625085dd9d0f39292 /sbin/init 予備サーバ [root@server2 ~]# md5sum /sbin/init 5fff3eac49eecf6625085dd9d0f39292 /sbin/init
rpm -V `rpm -qf /sbin/init`を実行し、なにか表示されたら変更された可能性がある。
S ファイルサイズが異なっている
5 MD5チェックサムが異なる
L シンボリックリンクが変更されている
T ファイルの更新時刻が変更されている
D デバイスファイルが変更されている
U ファイルの所有者が変更されている
G ファイルの所有グループが変更されている
M ファイルのパーミッションが変更されている
[root@server1 ~]# rpm -V `rpm -qf /sbin/init` [root@server1 ~]#
何も表示されない。
今日のところはひとまずよしとするが、もう少し調べてみて本当にrootkitに感染してるようなら、再インストールするしか無いかも。