主页 / server / 问题 / 454285
Accepted
user1821484
Asked: 2012-12-03 03:27:03 +0800 CST

chkrootkit 结果 - 未找到 php 会话文件

  • 772

当我运行 chkrootkit 时,有时会得到以下结果:

Searching for suspect PHP files...                          
/usr/bin/find: `/tmp/sess_nq0tiekcsl41jb93795gnrug54': No such file or directory
/usr/bin/find: `/tmp/sess_s904a26ph28gpspdh1bpke6fg6': No such file or directory
/usr/bin/find: `/tmp/sess_5efg9ic1bebo93q1c2c9d86qu3': No such file or directory

这种情况并不经常发生——也许 50 次扫描中有 1 次显示了这一点。

这是什么意思?

security

1 个回答

  1. Best Answer

    您正在查看的 chkrootkit 部分是这样的:

    ###
### Suspect PHP files
###
if [ "${QUIET}" != "t" ]; then
   printn "Searching for suspect PHP files... "; fi
   files="`${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -name '*.php' 2> /dev/null`"
   fileshead="`${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -type f -exec head -1 {} \; | grep php 2> /dev/null`"
if [ "${files}" = "" -a "${fileshead}" = "" ]; then
   if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
else
  echo "${files}"
  echo "${fileshead}"
fi

    find这是导致错误的第二个命令。find问题是在查找文件的命令与它到达-exec部件并在文件上运行时之间存在竞争条件head。在这两个时刻之间,另一个进程正在删除一些旧的、过期的 PHP 会话文件。

    在基于 Debian 的发行版中,这通常是一个 cron 作业/etc/cron.d/php5,在每小时的 9 和 39 分钟运行。我不确定基于 RedHat 的发行版能做什么,当然,这是可定制的。PHP 有一个内置机制,可以在每次请求时以千分之一的概率(这个概率也是可配置的)触发会话清理线程。

    您的 50 分之一的比率可能是删除旧 PHP 会话文件的机制略有变化的结果。

    • 2

相关问题