chkrootkit の Linux.Xor.DDoS誤検知

chkrootkit の Linux.Xor.DDoS誤検知についてです。
Suckitを誤検知する場合は、次の記事を見てください。
chkrootkit のSuckit誤検知の修正: パソコン鳥のブログ


Linux で rootkit検知ツール chkrootkit を導入していますが、Linux.Xor.DDoS の感染を検知しました。


 :
Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed
/tmp/certbot-auto
 :


無料証明書の発行サービス Let's Encrypt で使用するツール certbot-auto を検出していますが、誤検知です。

/tmp 下に、実行可能形式のファイルがあると、それを Linux.Xor.DDoS として検出するようです。

特に /tmp下に certbot-auto を置く必要もないので、削除しました。
これで、chkrootkitでの誤検出は無くなりました。


なお、chkrootkit での Linux.Xor.DDoS 検出方法は次のようになっています。

chkrootkit(ファイル名が chkrootkit です)で Linux.Xor.DDoS のチェックを行っている箇所は次のようになっています。


   ## Linux/Xor.DDoS
   if [ "${QUIET}" != "t" ]; then
      printn "Searching for Linux.Xor.DDoS ... "; fi
   files="`${find} ${ROOTDIR}tmp/ ${findargs} -executable -type f 2> /dev/null`"
   if [ "${files}" = "" ]; then
      files="`${ls} ${ROOTDIR}etc/cron.hourly/udev.sh 2> /dev/null`"
      files="$files $($ls ${ROOTDIR}etc/cron.hourly/gcc.sh 2> /dev/null)"
      if [ "${files}" = " " ]; then
         if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
      else
         echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
      fi
   else
     echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
     echo "${files}"
   fi


files="`${find} ${ROOTDIR}tmp/ ${findargs} -executable -type f 2> /dev/null`"
の行がありますが、これは CentOS上では
files="/bin/find /tmp/ -executable -type f`"
となります。

findコマンドで、/tmp 下に実行可能形式のファイルがあるとリストアップしています。
この結果が空ではない場合(if [ "${files}" = "" ]; thenではない場合)、
echo "INFECTED: Possible Malicious Linux.Xor.DDoS installed"
echo "${files}"
で、Linux.Xor.DDoS として検出したことを表示しています。



参考


質問掲示板 - CentOSで自宅サーバー構築

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント