[]
今天用閒閒沒事用 chkrootkit 在掃 FreeBSD 主機上的東西看有沒有什麼怪怪的 (其實平常都是用 rkhunter 在跑,所以 chkrootkit 只是有時候拿來跑看看而已),結果突然發現有一個結果出來不太對
Checking `bindshell'... INFECTED (PORTS:1008)
看起來像是出問題,port 1008 被不該出現的東西綁住了,趕緊用 sockstat 查一下是哪個程式在用這個 port,結果什麼都沒發現,那只好用 netstat 看看倒底是和哪台機器跟 port 1008 連。結果發現居然是家裡的另一台 FreeBSD?!那看起來放心一大半了。然後連去那台電腦再用 sockstat 的看看發現原來是 nfsd 造成的。好極了,搞了半天原來是因為我在主機上還留一個上次維修時 mount 的目錄,而他正好就是用 port 1008,而 chkrookkit 會用 netstat 去抓特定幾個 port 看有沒有人占用,果然在 unmount 該目錄之後一切就正常了。也不能說一切就正常啦,本來就是正常的,這個算是誤判吧 :p
不過還算是”正常”的誤判就是了,後來查了一下發現在 chkrootkit 的 faq 裡面有提到這一點。