Início / server / Perguntas / 813240
Accepted
Juan Jimenez
Asked: 2016-11-05 07:25:19 +0800 CST

chkrootkit no cron, mas relata apenas se detectar um positivo (falso ou não)

  • 772

Eu gostaria de criar um trabalho cron que execute o chkrootkit, mas apenas me envie um e-mail com o log resultante se houver um positivo, falso ou não. O faq do chkrootkit dá isso como sugestão:

0 3 * * * (cd /path/to/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)

...mas eu executo um cluster HPC com mais de 100 nós. Eu só quero que ele envie o log se ele detectou algo ao qual devo prestar atenção.

Como devo proceder para fazer isso?

cron

1 respostas

  1. Best Answer

    Do LEIA -ME :

    1. Mensagens de saída

      As seguintes mensagens são impressas pelo chkrootkit (exceto com as opções de comando -x e -q) durante seus testes:

      " INFECTED": o teste identificou um comando provavelmente modificado por um rootkit conhecido;
      ...

    Portanto, escreva um pequeno script que execute chkrootkite redirecione a saída para um arquivo temporário, analise o arquivo temporário para a string " INFECTED" e, se encontrado; envie um e-mail com as informações relevantes para identificar o host e adicione esse arquivo temporário como anexo, exclua o arquivo temporário.

    • 0

relate perguntas