OSSEC, Trojaned version of file ‘/proc/1/maps’ detected. Signature used: ‘init.’ (Suckit rootkit)

El otro día me llegaba un correo de alerta del Ossec con este mensaje …
Received From: xxx->rootcheck
Rule: 510 fired (level 7) -> “Host-based anomaly detection event (rootcheck).”
Portion of the log(s):Trojaned version of file ‘/proc/1/maps’ detected. Signature used: ‘init.’ (Suckit rootkit).

Después del susto y de cagarme en todo por no tener un ordenador a mano para mirarlo. Resulta que es un falso positivo. No hay mucha información sobre el Suckit Rootkit. La pagina de los creadores no existe y la poca información que hay es mas bien antigua (del 2005).

Pasandole el chkrootkit … dice que esta infectado …

Searching for Suckit rootkit… Warning: /sbin/init INFECTED

El Rootkit hunter no detecta nada. Parece que es un falso positivo del chkrootkit.

Este es el articulo original (del 2001)

Comments are closed.