OSはAlmaLinux 9.1 で、ある時chkrootkitが
Searching for Linux.Xor.DDoS … INFECTED: Possible Malicious Linux.Xor.DDoS installed
汚染されていると言っている。早速 /tmpに実行フィルがあるかチェックする
# find /tmp -executable -type f
すると /tmp/tAIOtkaU/2023-02-11_04-41-01/script.sh に実行権限が与えられている。
このファイルを見ると、timeshift でrestoreした時のrsyncのファイルであったので、こんなファイルはいらないので削除すると
# chkrootkit | grep INFECTED
と打ち込んでもINFECTEDには成らない。
* 別の日にAlmaLinuxに作ったサブホストでchkrootkitを実行すると
Checking `chsh’… INFECTED
と表示が出るので、コマンドの様なんでどこにあるかチェックする
# find / -name chsh -ls
19482653 4 -rw-r–r– 1 root root 192 10月 16 05:14 /etc/pam.d/chsh
38372077 28 -rws–x–x 1 root root 24936 10月 16 05:15 /usr/bin/chsh
53105243 4 -rw-r–r– 1 root root 504 2月 3 2021 /usr/share/bash-completion/completions/chsh
でこのchshコマンドを調べるとログイン時のシェルを変更するコマンドだ、私は使わないので /usr/bin/chshを削除し、
(2023-7-27追記)もっといい方法に気が付いた。chsh.bakにファイル名を変更し、
# chkrootkit | grep INFECTED
今度は何事もなくプロンプトに帰ってきた。
