タイトル通り。
IRCのプロキシサーバであるtiarraを動かしていると、chkrootkitでこんなメールが来る。
んで、まあ放置してたんだけど、好い加減余分なメールが来るのも困るし、もう大して警告メールが来ても驚かなくってしまっている自分が居て、警告メールの意味を成さなくなってきたので対応することにした。
以前設定した内容をは以下の通り。
chkrootkit導入@CentOS5のメモ - blog@longkey1.net
んで、465ポートの誤検知対応と同じ感じで良いと思うので。
これで良いっしょ。
ちゃんと動いてくれるか明日の朝が楽しみだ。
※2009/7/30追記
ちゃんと動いてくれているようです
IRCのプロキシサーバであるtiarraを動かしていると、chkrootkitでこんなメールが来る。
Checking `bindshell'... INFECTED (PORTS: 666x)んで、まあ放置してたんだけど、好い加減余分なメールが来るのも困るし、もう大して警告メールが来ても驚かなくってしまっている自分が居て、警告メールの意味を成さなくなってきたので対応することにした。
以前設定した内容をは以下の通り。
chkrootkit導入@CentOS5のメモ - blog@longkey1.net
んで、465ポートの誤検知対応と同じ感じで良いと思うので。
# vi /etc/cron.daily/chkrootkit
sed -i '/465/d' $TMPLOG
fi
+# tiarraのbindshell誤検知対応
+if [ ! -z "$(grep 6667 $TMPLOG)" ] && \
+ [ -z $(/usr/sbin/lsof -i:6667|grep bindshell) ]; then
+ sed -i '/6667/d' $TMPLOG
+fi
+
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" rootこれで良いっしょ。
ちゃんと動いてくれるか明日の朝が楽しみだ。
※2009/7/30追記
ちゃんと動いてくれているようです
2009-07-21
[server]
コメント