vine-users ML アーカイブ

[vine-users:072164] Re: chkrootkit $B$G(B ps $B%3%^%s%I$,<:GT$9$k(B

  • From: Fujita Yoshihiko <starfish@xxxxxxxxxxxxxxxx>
  • Subject: [vine-users:072164] Re: chkrootkit $B$G(B ps $B%3%^%s%I$,<:GT$9$k(B
  • Date: Thu, 16 Jun 2005 00:20:09 +0900
藤田と申します。

chkrootkit 関連ということでここに繋げています。

 Date: Sun, Jun 12, 2005 at 09:16:01PM +0900
 Subject: [vine-users:072134] Re: ps コマンドで relocation errorエラーがでる。
 Message-Id: <20050612210731.5743031.-769975543@xxxxxxxxxxxxxxxxx>

>   hikaru@biglobeです。
> 
  (略)
> ざーっと調べたところ、バックドア仕込まれたみたいで、なんだかとっても
> ヤバそうです。早急にLanケーブルをマシンからはずして、chkrootkit
> (http://www.atmarkit.co.jp/flinux/rensai/linuxtips/741chkrootkit.html に
> 紹介記事有り)等でチェックしてみたらどうでしょうか?

という話をみて、chkrootkit-0.45 でチェックをしてみました。
# sudo ./chkrootkit
  (略)
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... ERROR: Thread display not implemented.
********* simple selection *********  ********* selection by list *********
-A all processes                      -C by command name
-N negate selection                   -G by real group ID (supports names)
-a all w/ tty except session leaders  -U by real user ID (supports names)
-d all except session leaders         -g by session leader OR by group name
-e all processes                      -p by process ID
T  all processes on this terminal     -s processes in the sessions given
a  all w/ tty, including other users  -t by tty
g  all, even group leaders!           -u by effective user ID (supports names)
r  only running processes             U  processes for specified users
x  processes w/o controlling ttys     t  by tty
*********** output format **********  *********** long options ***********
-o,o user-defined  -f full            --Group --User --pid --cols
-j,j job control   s  signal          --group --user --sid --rows
-O,O preloaded -o  v  virtual memory  --cumulative --format --deselect
-l,l long          u  user-oriented   --sort --tty --forest --version
                   X  registers       --heading --no-heading
                    ********* misc options *********
-V,V show version       L  list format codes  f  ASCII art forest
-m,m show threads       S  children in sum    -y change -l format
-n,N set namelist file  c  true command name  n  numeric WCHAN,UID
-w,w wide output        e  show environment   -H process heirarchy
OooPS!
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
   (後略)

ということで、ps のコマンドが失敗します。
http://cialug.org/pipermail/cialug/2005-March.txt
によれば、chkproc.c の中で ps コマンドが
ps mauwx
で呼ばれていることが原因みたいです。
man ps
ではこのオプションがあるみたいです。

procps-2.0.7-11 では thread display を扱えないとのことなので
Vine の procps-2.0.6-5vl6 ではなおさら無理と思われます。

chkrootkit でチェックをかける場合、chkrootkit の
chkproc.c を書き直す必要があるのかも知れません。

それとも本当にトロイの木馬がいるのだろうか....