サーバーが改竄された!?chrootkitの誤検知でした。

by 管理者
10月 07日 2010 年

サーバから以下のメールが届きました。
「Searching for Suckit rootkit... Warning: /sbin/init INFECTED」

/sbin/initが改竄されているらしいという内容のメールですが、本当に改竄されているのかその調査方法を調べてみたところ、「md5sum /sbin/init」を実行して値を比較すれば良いということが分かりました。
比較するといっても現在使っていないテスト機の中に/sbin/initがあるだけなので、それと比較したところmd5sumどころかタイムスタンプまで違っていました。
そのため、改竄されたと断定して、ハードディスクの初期化、OSを再インストールしてchrootkitをインストールすると、「INFECTED」の文字が・・・、なんじゃコリャ

OSを再インストールして「INFECTED」はありえないので、/sbin/initのタイムスタンプを調べると2010-09-21 22:50 と表示され、インストール前の/sbin/initのタイムスタンプと同じでした。

どうやら自動アップデートした/sbin/initにchrootkitが誤検知していたようでした。
ハードディスクを初期化してしまったため、昨日のバックアップから戻したところ、chkrootkitを実行しても
「Searching for Suckit rootkit... nothing found」とrootkitは検出されなくなりました。

誤検知した/sbin/initと同じはずなんですが、何故なんでしょうか?
とにかく再インストールにならなくて良かった。

Linuxのバックアップとリストアですが、最初から最後まで通して掲載してあるサイトは私が探す限り見つかりませんでした。

当初、Linuxはワンボタンで簡単にリストアできると思いこんでいましたが、実際はすごく複雑で手間がかかります。

自作で作成したこのサーバの特化したリストア手順書を見ながら、リストアしましたが約1時間かかりました。

Linuxを使う=スペシャルな方ばかりなので特に不要ということかもしれませんが、役に立つ方もいると思いますので備忘録程度ですが、バックアップとリストア方法を掲載しようと思います。

次ページへ »

« 前ページへ

この記事へのトラックバックURL