https://bugzilla.redhat.com/show_bug.cgi?id=636231
https://bugzilla.redhat.com/show_bug.cgi?id=859574
どうも chkrootkit のスクリプトの以下でひっかかってる。
982 if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
983 if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME || \
984 cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
985 then
strings /sbin/init から HOME という文字列を egrep してるが、
Fedora 17 の /sbin/init -> /lib/systemd/systemd はこれにひっ
かかる。
# strings /lib/systemd/systemd | grep HOME
HOME=%s
XDG_CONFIG_HOME
XDG_DATA_HOME
ただ、まだ不安だったので一応 systemd の rpm をとって
きて中身のバイナリの md5 と比較してみることにした。
35dc67a4f118ee8d9b4fa963702d0c60 /usr/lib/systemd/systemd
4d2c1206c59d937eef30e139388368d6 /var/tmp/hoge/usr/lib/systemd/systemd
えぇぇ??違うじゃん!
社内の Fedora に詳しい方に聞いたりして、prelink かもという
ことで調べたところ、どうもこのせいだった。
以下詳しい(って、、、この資料は、那賀さん...)
http://sios-oss.blogspot.jp/2011/12/prelink-rpm-v.html
prelink 前の md5 は以下でわかり一致。
prelink --verify --md5 /usr/lib/systemd/systemd
4d2c1206c59d937eef30e139388368d6 /usr/lib/systemd/systemd
ふぅ、自分のダメさに鬱。新しい技術に追いつかんといかん。
0 件のコメント:
コメントを投稿