chkrootkit の Linux.Xor.DDoS誤検知についてです。
Suckitを誤検知する場合は、次の記事を見てください。
chkrootkit のSuckit誤検知の修正: パソコン鳥のブログ
Linux で rootkit検知ツール chkrootkit を導入していますが、Linux.Xor.DDoS の感染を検知しました。
: Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed /tmp/certbot-auto :
無料証明書の発行サービス Let’s Encrypt で使用するツール certbot-auto を検出していますが、誤検知です。
/tmp 下に、実行可能形式のファイルがあると、それを Linux.Xor.DDoS として検出するようです。
特に /tmp下に certbot-auto を置く必要もないので、削除しました。
これで、chkrootkitでの誤検出は無くなりました。
なお、chkrootkit での Linux.Xor.DDoS 検出方法は次のようになっています。
chkrootkit(ファイル名が chkrootkit です)で Linux.Xor.DDoS のチェックを行っている箇所は次のようになっています。
## Linux/Xor.DDoS
if [ "${QUIET}" != "t" ]; then
printn "Searching for Linux.Xor.DDoS ... "; fi
files="`${find} ${ROOTDIR}tmp/ ${findargs} -executable -type f 2> /dev/null`"
if [ "${files}" = "" ]; then
files="`${ls} ${ROOTDIR}etc/cron.hourly/udev.sh 2> /dev/null`"
files="$files $($ls ${ROOTDIR}etc/cron.hourly/gcc.sh 2> /dev/null)"
if [ "${files}" = " " ]; then
if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
else
echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
fi
else
echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
echo "${files}"
fi
files=”`${find} ${ROOTDIR}tmp/ ${findargs} -executable -type f 2> /dev/null`”
の行がありますが、これは CentOS上では
files=”/bin/find /tmp/ -executable -type f`”
となります。
findコマンドで、/tmp 下に実行可能形式のファイルがあるとリストアップしています。
この結果が空ではない場合(if [ “${files}” = “” ]; thenではない場合)、
echo “INFECTED: Possible Malicious Linux.Xor.DDoS installed”
echo “${files}”
で、Linux.Xor.DDoS として検出したことを表示しています。
コメント