Вопросы Теги

chkrootkit бросает Сигнал 13 при поиске/var/tmp

Как насчет того, чтобы удалить запись, создавая снимок и затем пытаясь изменить Ваш/etc/fstab, таким образом, у Вас есть рабочий снимок, к которому можно откатывать?

Согласно странице справочника mount.cifs можно также указать пароль через password=arg. Кроме того, согласно той странице справочника нет никакого аргумента username=arg но вместо этого user=arg. Но это могло бы отличаться в Вашей системе, лучше проверить Вашу страницу справочника на корректные имена аргумента.

0
04.11.2016, 04:41
3 ответа

chkrootkit ищет файлы PHP в/tmp/и/var/tmp каталогах. Скорее всего, некоторые файлы там инициировали ошибку. В моем случае это был тестовый файл с большим количеством нулевых байтов - удаление файла решило проблему.

1
28.01.2020, 02:37
  • 1
    я создал testfile с большим количеством nullbytes с dd if=/dev/zero of=/var/tmp/nullbytes count=1 bs=1M но команда /usr/bin/find /var/tmp -type f -exec head -1 {} \; | grep php 2> /dev/null;date не бросил ошибок. это могло быть, что ошибка фиксируется с тех пор хрипящая? –  rubo77 26.11.2013, 12:56
  • 2
    у меня был подобный файл 1 ГБ длиной. Точная Ubuntu; возможно, более новые версии не имеют этой ошибки. –  VladV 26.11.2013, 14:14
  • 3
    Вот именно! Я создал файл на 1 ГБ только с нулевыми байтами, и затем я получил ошибку снова. так удаление того временного файла является решением. Жалость, которую я не знаю, как такой файл, возможно, был создан там во-первых –  rubo77 26.11.2013, 15:24
  • 4
    , я сообщил об этом этому debian bugreport: bugs.debian.org/cgi-bin/bugreport.cgi?bug=588121 –  rubo77 26.11.2013, 15:33

Проблема - это head в выходе близко stdout, первое head вывод работает правильно, но любая другая запись к сбою stdout с SIGPIPE.

Можно хотеть использовать другой подход

head -q -n1 $(find /somedir/ -type f)|grep someword

править

сохраните сценарий как тот ниже где-нибудь, назовите его, как Вам угодно делают это исполняемым файлом и заменой head в chkrootkit.

#!/bin/sh
shift
test -f "$1" || exit 1
read line <$1 
echo "$line"

Это не полно head совместимый, так используйте его только со стороны chkrootkit, который Вы отправили здесь.

0
28.01.2020, 02:37
  • 1
    поэтому, как я восстановил бы команду в своем вопросе соответственно? Это - исходный chkrootkit-сценарий –  rubo77 19.08.2013, 04:37

Вот простая реализация идей, лежащих в основе ответа Алекса ниже. Я закомментировал код примерно в строке 1241 основного сценария оболочки chkrootkit и добавил следующий за ним код замены: 

###if [ `echo abc | head -n 1` = "abc" ]; then
###      fileshead="`${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -type f -exec head -n 1 {} \; | $egrep '#!.*php' 2> /dev/null`" 
###else
###      fileshead="`${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -type f -exec head -1 {} \; | grep '#!.*php' 2> /dev/null`"
###fi

SUFF=`date "+%m%d%H%M%S.%N"`
echo > /tmp/matches.$SUFF

for F in `${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -type f -print`
do
    read line <$F
    match=`echo "$line" | grep '#!.*php' 2> /dev/null`
    if [ -n "$match" ]
    then
        echo "$F : $match" >> /tmp/matches.$SUFF
    fi
done

fileshead=`cat /tmp/matches.$SUFF`
rm -f /tmp/matches.$SUFF

Это работает и позволяет завершить chkrootkit.

1
28.01.2020, 02:37

Теги

Похожие вопросы

  • 2
    Не может понять результат chkrootkit 16.04.2011
    Я не мог понять вывод команды chkrootkit: $ chkrootkit-q-r//usr/lib/.libssl.so.10.hmac/usr/lib/.libfipscheck.so.1.hmac/usr/lib/firefox-3.6/.autoreg/usr/lib/.libfipscheck.so.1.1.0....
  • 15
    rkhunter предупреждает меня о root.rules 09.07.2015
    Я работаю:: ~ $ sudo rkhunter - checkall - report-warnings-only Одно из предупреждений я имею: Предупреждение: Подозрительные типы файлов нашли в/dev:/dev/.udev/rules.d/root.rules: текст ASCII и...
  • 0
    Неверный параметр конфигурации WEB_CMD: Относительный путь: "/bin/false" 19.01.2020
    Я на Ubuntu, пытаюсь установить rkhunter. Я пробовал успешно установить apt-get install rkhunter Но затем я сделал rkhunter --update Я продолжал получать неверный параметр конфигурации WEB_CMD: ...
  • 4
    Chkrootkit, предупреждающий о зараженном порте 600 27.02.2018
    Я выполняю Тигра Автоматический Аудитор в моей системе Linux Debian и недавно был послан следующее по электронной почте: #, Работающий chkrootkit (/usr/sbin/chkrootkit) для выполнения дальнейшие проверки... СТАРЫЙ: - ПРЕДУПРЕЖДЕНИЕ - [...
  • 0
    Linux Mint: Я заражен руткитом 08.03.2016
    Я попытался войти в свою учетную запись администратора, и он сказал, что пароль неверный. Это никак не могло быть неправильным, так как я скопировал его с USB-накопителя. Я сбросил свой пароль, установил chkrootkit ...