sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #74539
Re: chkrootkit: suspicious files
Peter Makholm wrote:
Jørgen Heesche <heesche@xxxxxxxxxxx> writes:
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/site_perl/5.8.0/i386-linux-thread-multi/auto/Video/ivtv/.packlist
Står det ikke i dokumentationen hvad programmet tjekker for så du selv
har mulighed for at afgøre om noget er et reelt problem eller bare et
falsk hit?
Filen /usr/share/doc/chkrootkit-0.39/README siger ikke noget om check af
.* filer.
Hvordan kan disse filer være suspekte?
Jeg kunne forestille mig at den hentyder til filnavne der begynder med
et punktum steder hvor den ikke forventer den slags filnavne (primært
i brugeres hjemkataloger).
I scriptet chkrootdir findes dette afsnit:
###
### suspicious files and dirs
###
DIR="${ROOTDIR}usr/lib"
[ -d ${ROOTDIR}usr/man ] && DIR="$DIR ${ROOTDIR}usr/man"
[ -d ${ROOTDIR}lib ] && DIR="$DIR ${ROOTDIR}lib"
if [ "${QUIET}" != "t" ]; then printn \
"Searching for suspicious files and dirs, it may take a while...
"; fi
files=`${find} ${DIR} -name ".[A-Za-z]*" -o -name "...*" -o -name
".. *"`
dirs=`${find} ${DIR} -type d -name ".*"`
if [ "${files}" = "" -a "${dirs}" = "" ]
then
if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
else
echo
echo ${files}
echo ${dirs}
fi
Nu er jeg ikke lige expert i sådanne scripts, så jeg kan ikke helt se
hvad der sker. Men det ser ud til at man interesserer sig for .* filer i
/usr/lib og /usr/man, og disse filer falder igennem checket
"if [ "${files}" = "" -a "${dirs}" = "" ]" tilsyneladende fordi de
eksisterer: variablen files er ikke blank.
Med venlig hilsen
Jørgen Heesche
Follow ups
References