[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:18631] alamo & kstat , make error



MOUE@既出でしたら無視してください、です.

lkm-rootkit 等による不正アクセス検査ツールとして有名な alamo と
kstat を使ってみました。

うちのサーバ上では、iplog や chkrootkit その他が cron で動いて報告を
くれていますが、ある日、chkrootkit からの報告に、

Checking `lkm'... You have     1 process hidden for readdir command
You have     1 process hidden for ps command
Warning: Possible LKM Trojan installed

というのがありました。
その他のツールでは何も問題になる報告は無く、また、この原因に思い
つくところがあったので、心配はなかったのですが、当該機を network
から外して、alamo や kstat でチェックしてみることにしました。
この機械は、plamo2.0 ベースで kernel 2.2.xx です。
( 2.2.25 が出てたのですねぇ、up しとこう。^^;)

alamo の場合、

# gunzip -c alamo-0.1a.tar.gz | tar xf -
# cd alamo
# make
/usr/bin/gcc -O2 -Wall -Wstrict-prototypes -fomit-frame-pointer -pipe -fno-strength-reduce -malign-loops=2 -malign-jumps=2 -malign-functions=2 -I/usr/src/linux/include -c alamo.c -o alamo.o -D__KERNEL__ -DMODULE -DMODVERSIONS
alamo.c: In function `alamo_execve':
alamo.c:416: `PF_DTRACE' undeclared (first use in this function)
alamo.c:416: (Each undeclared identifier is reported only once
alamo.c:416: for each function it appears in.)
make: *** [alamo] Error 1

kstat の場合、

# gunzip -c kstat.tgz | tar xf -
# cd KSTAT/
# vi Makefile 

   --- ここで System.map の path を変更 ---
   --- ここで kernel_module のアドレスを変更 ---

# make kstat
Compiling kstat on zeblx...

gcc -O2 -Wall -Werror -I./include-linux/ -c ./src-linux/main.c 
gcc -O2 -Wall -Werror -I./include-linux/ -c ./src-linux/if.c
gcc -O2 -Wall -Werror -I./include-linux/ -c ./src-linux/util.c
gcc -O2 -Wall -Werror -I./include-linux/ -c ./src-linux/kmem.c
gcc -O2 -Wall -Werror -I./include-linux/ -c ./src-linux/ps.c -D CAP_BOUND=`cat /proc/sys/kernel/cap-bound`
./src-linux/ps.c: In function `show_ps':
./src-linux/ps.c:118: `PF_PTRACED' undeclared (first use in this function)
./src-linux/ps.c:118: (Each undeclared identifier is reported only once
./src-linux/ps.c:118: for each function it appears in.)
./src-linux/ps.c:119: `PF_TRACESYS' undeclared (first use in this function)
./src-linux/ps.c:127: `PF_DTRACE' undeclared (first use in this function)
make: *** [kstat] Error 1

このように make の error がでます。

alamo の `PF_DTRACE'とは何かと思い調べた結果、
/usr/src/linux/include/linux/sched.h
の中に定義されていました。

この機械 ( plamo3.0 の機械でも同じでしたが )の場合は、
PT_DTRACE として定義されており、`PF_PTRACED' `PF_TRACESYS' も、
それぞれ `PT_PTRACED' `PT_TRACESYS' となっていました。

alamo.c:416: の PF_DTRACE を PT_DTRACE と書き換えてからの make では
問題なく終了し、alamo.o が作られ、チェックすることができました。

kstat によるチェックはまだですが、同じように修正すればよさげです。

-- 
+----------+----------+----------+----------+----------+
MOUE                  << Plamo Linux >>


[検索ページ] [メール一覧]
Plamo ML 公開システム