← Back to team overview

sslug-teknik team mailing list archive

Re: chkrootkit: suspicious files

 

Peter Makholm wrote:
Jørgen Heesche <heesche@xxxxxxxxxxx> writes:


Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/site_perl/5.8.0/i386-linux-thread-multi/auto/Video/ivtv/.packlist


Står det ikke i dokumentationen hvad programmet tjekker for så du selv
har mulighed for at afgøre om noget er et reelt problem eller bare et
falsk hit?

Filen /usr/share/doc/chkrootkit-0.39/README siger ikke noget om check af .* filer.

Hvordan kan disse filer være suspekte?


Jeg kunne forestille mig at den hentyder til filnavne der begynder med
et punktum steder hvor den ikke forventer den slags filnavne (primært
i brugeres hjemkataloger).

I scriptet chkrootdir findes dette afsnit:
   ###
   ### suspicious files and dirs
   ###
   DIR="${ROOTDIR}usr/lib"
   [ -d ${ROOTDIR}usr/man ] && DIR="$DIR ${ROOTDIR}usr/man"
   [ -d ${ROOTDIR}lib ] && DIR="$DIR ${ROOTDIR}lib"

   if [ "${QUIET}" != "t" ]; then printn \
"Searching for suspicious files and dirs, it may take a while... "; fi

files=`${find} ${DIR} -name ".[A-Za-z]*" -o -name "...*" -o -name ".. *"`
   dirs=`${find} ${DIR} -type d -name ".*"`
   if [ "${files}" = "" -a "${dirs}" = "" ]
      then
      if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
   else
      echo
      echo ${files}
      echo ${dirs}
   fi

Nu er jeg ikke lige expert i sådanne scripts, så jeg kan ikke helt se hvad der sker. Men det ser ud til at man interesserer sig for .* filer i /usr/lib og /usr/man, og disse filer falder igennem checket "if [ "${files}" = "" -a "${dirs}" = "" ]" tilsyneladende fordi de eksisterer: variablen files er ikke blank.

Med venlig hilsen
Jørgen Heesche



Follow ups

References