[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:42323] Re: LKM Trojan と通知されましたが
- From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
- Subject: [debian-users:42323] Re: LKM Trojan と通知されましたが
- Date: Sat, 8 Jan 2005 00:32:48 +0900
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-users@debian.or.jp
- X-spam-level:
- X-spam-status: No, hits=0.1 required=10.0 tests=IN_REP_TO,ISO2022JP_BODY,ISO2022JP_CHARSET,RCVD_IN_ORBS, RCVD_IN_OSIRUSOFT_COM,REFERENCES,SIGNATURE_SHORT_SPARSE, SPAM_PHRASE_00_01,X_OSIRU_OPEN_RELAY version=2.44
- References: <20050107234407.1efae072.c-yun@xxxxxxxxxxxxxx> <200501071513.j07FDo2V000879@xxxxxxxxxxxxxxxxx>
- Message-id: <200501071532.j07FWj2V001932@xxxxxxxxxxxxxxxxx>
- X-mail-count: 42323
- X-mailer: Datula version 1.52.01 for Windows
やまね です。
"Sat, 8 Jan 2005 00:13:53 +0900", "Hideki Yamane"
"[debian-users:42321] Re: LKM Trojan と通知されましたが"
ミスリードになるんじゃないか、という指摘を受けたので一応もう少し
考えた背景を。
chkrootkit の話はおそらく誤検知でしょう。実際に LKM だったら
かなりまずい状態ですが、簡単に見つけられるものでもないですし ;-)
> 侵入を受けていないかどうかの判断基準として、ファイルの整合性
> チェックを行えばどうでしょうか。tripwire/aide/samhain など色々
> あります。
http://www.debian.org/News/2003/20031202 のように実際に侵入を
受けたとしても aide を使って確認できた例もあることですし、もう
一つ判断基準を増やすのはどうでしょうか、ということでした。
#あれ、このページは訳してなかったっけな…
--
Regards,
Hideki Yamane <henrich @ samba.gr.jp/iijmio-mail.jp>
Key fingerprint = 4555 82ED 38B6 C870 E099 388C 22ED 21CB C4C7 264B