[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01933] chkrootkit vs Mr.hsj

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:01933] chkrootkit vs Mr.hsj
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Sat, 18 Jan 2003 11:01:30 +0900

Port139 伊原です。忘れないうちにメモっておこう。

昨夜 hsj 氏（呼びにくっ;）がいらしたので、chkrootkit から adore-0.42
を発見できないようにするパッチにしついて教えていただく。
＃知らない人は以下参照。

HighSpeed Junkie!
http://hsj.shadowpenguin.org/

chkrootkit は /proc 配下の PID 1～65536 までを順次 cd できるか確認し、
プロセスは見えないが cd が可能な場合見えないプロセスがあると判断して
いる。なので、パッチにより cd をさせないようにしてみた。
＃という内容だったと思うのですが、お酒入ってたので微妙...

で、氏曰く『(現状では)chkrootkit は役立たず～』(脚色含む;)とのこと。
＃LKM を OS 側で無効化していても nae とか入れてないと駄目なので。

ま、電源落としてオフラインでチェックすればいいんですけど、そこまで
やる人は少ないんでしょうね...

-- 
Port139 セミナー 次回(大阪会場)は 3月14日開催予定
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Prev by Date: [port139ml:01932] すなれ？
Next by Date: [port139ml:01934] corega AirPacMon
Previous by thread: [port139ml:02167] Re: SNARE（Re:すなれ？）
Next by thread: [port139ml:01934] corega AirPacMon
Index(es):
- Date
- Thread