Eu verifiquei e nada foi executado na porta 600 mais tarde. Pesquisando mais, parece que isso é um falso positivo devido a portas escolhidas aleatoriamente para rpc.statd .
Eu rodei o Tiger Automatic Auditor no meu sistema Debian Linux, e recentemente recebi o seguinte email:
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)
Eu imediatamente executei o chkrootkit manualmente e não vi nenhum aviso ou resultado incomum. Como posso saber se isso foi um falso positivo?
Eu verifiquei e nada foi executado na porta 600 mais tarde. Pesquisando mais, parece que isso é um falso positivo devido a portas escolhidas aleatoriamente para rpc.statd .
A primeira coisa que gostaria de fazer é ver o que está sendo executado na porta 600.
netstat --all --numeric-ports --program |grep 600
Supondo que exista algo, procure no Google para ver se alguém denunciou falsos positivos ou se teve algum problema com o software. Caso contrário, comece a verificar seus outros registros para ver se há alguma evidência de invasão.
Tags debian chkrootkit linux tiger