先日、以下のメールが来るようになった。
Checking `bindshell’… INFECTED (PORTS: 1008)
bindshellが仕掛けられたのかと思い、色々調べたら、どうもポート1008がrpc.statdのプロセスによって使用されていることが分かり、bindshellではなかったようなので、まずは一安心。
ポート1008が使ってるプロセスを確認 [root@server ~]# lsof -i:1008 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME rpc.statd 2098 rpcuser 7u IPv4 5737 TCP *:1008 (LISTEN) rpc.statdが、rpcuserによって起動している。 バックアップしてあったchkrootkitで使用するコマンド群使って再検査を行うことに。 [root@server ~]# shutdown -r now クライアントマシンにバックアップしてあったchkrootkitcmd.zipを、/home/higo/にアップロードしてから以下の作業を行う。 [root@server ~]# cd /home/higo/ [root@server higo]# mv -v chkrootkitcmd.zip /root `chkrootkitcmd.zip' -> `/root/chkrootkitcmd.zip' [root@server higo]# cd [root@server ~]# unzip chkrootkitcmd.zip Archive: chkrootkitcmd.zip creating: chkrootkitcmd/ inflating: chkrootkitcmd/id inflating: chkrootkitcmd/egrep inflating: chkrootkitcmd/sed inflating: chkrootkitcmd/netstat inflating: chkrootkitcmd/echo inflating: chkrootkitcmd/find inflating: chkrootkitcmd/awk inflating: chkrootkitcmd/head inflating: chkrootkitcmd/strings inflating: chkrootkitcmd/ps inflating: chkrootkitcmd/uname inflating: chkrootkitcmd/ls inflating: chkrootkitcmd/cut [root@server ~]# ls -l ./chkrootkitcmd/ 合計 1084 -rwxr-xr-x 1 root root 320416 7月 12 09:20 awk -rwxr-xr-x 1 root root 34408 7月 12 09:20 cut -rwxr-xr-x 1 root root 19852 7月 12 09:20 echo -rwxr-xr-x 1 root root 85060 7月 12 09:20 egrep -rwxr-xr-x 1 root root 151244 7月 12 09:20 find -rwxr-xr-x 1 root root 31660 7月 12 09:20 head -rwxr-xr-x 1 root root 22600 7月 12 09:20 id -rwxr-xr-x 1 root root 95116 7月 12 09:20 ls -rwxr-xr-x 1 root root 121300 7月 12 09:20 netstat -r-xr-xr-x 1 root root 79004 7月 12 09:20 ps -rwxr-xr-x 1 root root 51764 7月 12 09:20 sed -rwxr-xr-x 1 root root 25892 7月 12 09:20 strings -rwxr-xr-x 1 root root 20024 7月 12 09:20 uname /root/chkrootkitcmd/の外部コマンドで、chkrootkitを実行。 [root@server ~]# which chkrootkit /usr/sbin/chkrootkit [root@server ~]# chkrootkit -p /root/chkrootkitcmd/ INFECTEDは無いようだが、INFECTEDのみ表示させてみる。 [root@server ~]# chkrootkit -p /root/chkrootkitcmd/ | grep INFECTED INFECTEDは無かった。 rpc.statdの待ち受けポートを確認してみる。 [root@server ~]# netstat -anp|grep rpc.statd tcp 0 0 0.0.0.0:1006 0.0.0.0:* LISTEN 2096/rpc.statd udp 0 0 0.0.0.0:1000 0.0.0.0:* 2096/rpc.statd udp 0 0 0.0.0.0:1003 0.0.0.0:* 2096/rpc.statd unix 2 [ ] DGRAM 5427 2096/rpc.statd rpc.statdが使ってた1008はすでに違うものになってる。 ポート1008番は、どのプロセスも使用してないことを確認。 [root@server ~]# lsof -i:1008 [root@server ~]# 再検査で使ったファイル群を削除。 [root@server ~]# rm -v -f -R ./chkrootkitcmd/ removed `./chkrootkitcmd//id' removed `./chkrootkitcmd//egrep' removed `./chkrootkitcmd//sed' removed `./chkrootkitcmd//netstat' removed `./chkrootkitcmd//echo' removed `./chkrootkitcmd//find' removed `./chkrootkitcmd//awk' removed `./chkrootkitcmd//head' removed `./chkrootkitcmd//strings' removed `./chkrootkitcmd//ps' removed `./chkrootkitcmd//uname' removed `./chkrootkitcmd//ls' removed `./chkrootkitcmd//cut' removed directory: `./chkrootkitcmd/' zipファイルも削除 [root@server ~]# rm -v chkrootkitcmd.zip rm: remove 通常ファイル `chkrootkitcmd.zip'? y removed `chkrootkitcmd.zip' 以前のコマンドでchkrootkitを実行 [root@server ~]# chkrootkit | grep INFECTED [root@server ~]# rootkitは検出されなかった。