Aviso do Chkrootkit sobre a porta infectada 600

3

Eu rodei o Tiger Automatic Auditor no meu sistema Debian Linux, e recentemente recebi o seguinte email:

# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)

Eu imediatamente executei o chkrootkit manualmente e não vi nenhum aviso ou resultado incomum. Como posso saber se isso foi um falso positivo?

    
por jrdioko 31.08.2011 / 23:37

2 respostas

4

Eu verifiquei e nada foi executado na porta 600 mais tarde. Pesquisando mais, parece que isso é um falso positivo devido a portas escolhidas aleatoriamente para rpc.statd .

    
por 02.09.2011 / 19:04
1

A primeira coisa que gostaria de fazer é ver o que está sendo executado na porta 600.

netstat --all --numeric-ports --program |grep 600

Supondo que exista algo, procure no Google para ver se alguém denunciou falsos positivos ou se teve algum problema com o software. Caso contrário, comece a verificar seus outros registros para ver se há alguma evidência de invasão.

    
por 01.09.2011 / 02:45