chkrootkit ed i falsi positivi

Stamattina, come ogni lunedì, ho ricevuto via email i report relativi alla scansione rootkit eseguita sui miei server mediante chkrookit.

chkrootkit

 

Una di queste email riportava la seguente entry:

Checking `lkm'... You have 2 process hidden for readdir command

You have 2 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

Avranno bucato la macchina oppure si tratta di un falso positivo?

Mi accingo dunque ad effettuare ulteriori controlli, tra cui una nuova scansione mediante un altro tool per l’individuazione dei rootkit, ovvero rkhunter:

nightfly@nightbox:/var/log$ sudo rkhunter -c

Inutile dire che tale scansione ha avuto esito negativo. Indi per cui sono quasi certo che si tratta di un falso positivo. La conferma arriva da una nuova scansione eseguita con chkrootkit, che non ha segnalato nessuna anomalia.

Sono sicuro che quel falso positivo presente nel report fosse dovuto ad un restart di qualche processo avvenuto proprio durante la scansione schedulata.

Morale della favola: prima di pensare al peggio assicuratevi che la macchina sia stata effettivamente bucata.

A presto.

chkrootkit ed i falsi positiviultima modifica: 2011-08-29T16:20:04+02:00da nazarenolatella
Reposta per primo quest’articolo

Lascia un commento