저는 Debian Linux 시스템에서 Tiger 자동 감사 프로그램을 실행하고 있으며 최근에 다음 이메일을 받았습니다:
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 600)
즉시 chkrootkit을 수동으로 실행했는데 경고나 비정상적인 결과가 표시되지 않았습니다. 이것이 거짓 긍정인지 어떻게 알 수 있나요?
답변1
확인해 보니 포트 600에서 아무것도 실행되지 않는 것으로 나타났습니다. 더 자세히 살펴보면 다음과 같습니다.무작위로 포트를 선택하는 rpc.statd로 인한 거짓 긍정.
답변2
내가 가장 먼저 한 일은 포트 600에서 무엇이 실행되고 있는지 확인하는 것이었습니다.
netstat --all --numeric-ports --program |grep 600
뭔가 잘못되었다고 가정하면 Google은 다른 사람이 오탐지나 소프트웨어 관련 문제를 보고했는지 확인합니다. 그렇지 않은 경우 다른 로그를 검사하여 손상의 증거가 있는지 확인하십시오.