我在 Debian Linux 系统上运行 Tiger 自动审核器,最近收到以下电子邮件:
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)
我立即手动运行 chkrootkit,没有看到任何警告或异常结果。我如何判断这是否是误报?
答案1
我查了一下,后来600端口上没有任何东西在运行。进一步探索,这听起来像是一个由于 rpc.statd 随机选择端口而导致误报。
答案2
我要做的第一件事是查看端口 600 上正在运行什么。
netstat --all --numeric-ports --program |grep 600
假设有什么问题,谷歌看看是否有其他人报告了误报或软件有任何问题。如果没有,请开始检查其他日志以查看是否有任何入侵证据。