とりあえず検出したと報告されているのは SucKIT なので、ググルとやはり？というか当然？あの方の資料がひっかかる。 Kernel Rootkit http://www.port139.co.jp/cakeoff/030823/T030823.pdf この資料のP23に SucKIT の解説があるのですが、リモートバックド…

コメント欄のお告げに従い racount と ratop ・・・ratop？マニュアルに記述がないなぁ・・・っていうか、 # ratop bash: ratop: そのようなファイルやディレクトリはありません 最新版をダウンロードしてこないと（笑）

ふと気が付くとコメント欄に犬のひとから「-s+lasttime をraに追加しろやゴラァ！」と助言いただいていることに気が付く（ありがとうございます）。 ra ってオプションいっぱいあるんですねとりあえず man 読んでみます。 Manuals: http://www.qosient.com/a…

イッパイデテキタ、ヤッパリフィルタシナイト・・・ Start_Time Duration Flgs Type SrcAddr Sport Dir DstAddr Dport SrcPkt Dstpkt SrcBytes DstBytes State 05-01-01 12:43:28.588474 59.992009 tcp 192.168.0.1.4629 ?> 192.168.0.146.22 456 625 47244 …

詳しい使い方は、3/5 に聞いて勉強するとして、該当時刻に存在したセッションを確認するには ra コマンドを使えばいいのかな？とりあえず、12時43分の通信を表示してみよ。 #ra -r /var/log/argus/argus.out -t 2005/01/01.12:43:00-2005/01/01.12:44:00任意…

/sbin/init の atime は chkrootkit からのアクセスで変更されているけど、一応 MACtimeを確認してみる。 # stat /sbin/init File: "/sbin/init" Size: 33912 Blocks: 72 Regular File Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root) Device: 3…

chkrootkit *1のお告げ。 Suckit rootkit... Warning: /sbin/init INFECTED snip chkproc: Warning: Possible LKM Trojan installedさて、どうしたものか？これが本当ならエライこっちゃ。しかもご丁寧に LKM ですかorz とりあえず揮発性情報を保存。LKM roo…