ドキュメントの内容は出来るだけオリジナル英語に忠実に翻訳するように努めますが、 日本語として不適切な部分は日本語として読みやすいように置き換えている場合もあり ます。なお、免責事項として、日本語版を利用者が利用するにあたり、いかなる場合も 訳者はその責をを追いません。文末にオリジナル英語版の README を掲載しています。 ----------------------------------------------------------------------------- chkrootkit V. 0.47 Nelson Murilo (主開発者) Klaus Steding-Jessen (副開発者) ローカル環境上でルートキット(rootkit) を検出するためのツール群です。 chkrootkit については http://www.chkrootkit.org/ をご覧下さい。 違法行為は許さないものです! 私はこのツールをあなたが使用する事に関していかなる責任も持ちません。 このツールには DFN-CERT、ハンブルグ大学(chklastlog と chkwtmp)、 Fred N. van Kempen, による ifconfig に関する一部若干のツール群を含んでいます。 1. chkrootkit とは何? ----------------------  chkrootkit(チェック・ルートキット)はローカル環境上でルートキット(rootkit) を検出するためのツール群です。ツール群の中には次のようなツールやソースが入っ ています。 * chkrootkit: ルートキット(rootkit)によってシステム上のバイナリ(/bin や /sbin 配下のコマンド群)が改竄されていないかどうか調べるためのシェル・スク リプトです。 * ifpromisc.c: ネットワーク・インターフェースが promiscous mode(プロミスキャ ス・モード=ネットーワーク上のパケットを盗聴可能な状態)かどうかを調べます。 * chklastlog.c: lastlog ファイル(lastlog コマンド:ユーザ毎に何時・何処から ログインしたか・最終ログイン日時の確認可能なデータが入っている /var/log/ lastlog ログファイルを整形して表示)に削除された痕跡が無いか調べます。 * chkwtmp.c: wtmp ファイル(last コマンドで誰がいつ何処からログインしたか確 認可能なデータが入っているファイル)に削除された痕跡が無いか調べます。 * check_wtmpx.c: wtmpx ファイルに削除された痕跡が無いか調べます。 (Solaris 環境のみ対象) * chkproc.c: カーネル組み込み型モジュール(LKM trojan)に分類されるトロイの木 馬型侵入ツールの影響を受けていないか調べます(プロセスが監査対象です)。 * chkdirs.c: カーネル組み込み型モジュール(LKM trojan)に分類されるトロイの木 馬型侵入ツールの影響を受けていないか調べます(ディレクトリが監査対象です)。 * strings.c: 悪意のある悪戯や酷い表現を含む文字列がないか改竄状態を調べます。 * chkutmp.c: utmp ファイル(現在ログインしているユーザの情報が確認可能なデー タの記録されているファイル)に削除された痕跡が無いか調べます。  chkwtmp と chklastlog プログラムは wtmp と lastlog ファイルに削除された痕跡 がないか調べようと *試み* ます。ですが、かならずしも改竄された形跡を検出でき るとは *保証できません*。  外部ツールはスニファーのログと rootkit 用の設定ファイルを探し出そうとします。 rootkit が一般的に設置するような場所を探します。ですが、こちらも必ずしも検出 が成功するかどうか保証できません。  chkproc は /proc 配下の構造を調べ ps コマンドに隠されているプロセスやシステ ムコールを探します。ですが、必ずしも LKM トロイの木馬(trojan) を検出できると は限りません。このコマンドは -v (verbose = 冗長化モード)オプションをつけて実 行できます。 2. ルートキット、ワーム、LKM 検出 ---------------------------------  chkrootkit によって検出できるルートキットやワーム、LKM の更新情報はhttp://www.chkrootkit.org/ をご覧下さい。 3. 動作環境 ----------- chkrootkit は以下の環境でテスト済みです。 Linux 2.0.x, 2.2.x, 2.4.x, 2.6.x FreeBSD 2.2.x, 3.x, 4.x, 5.x OpenBSD 2.x, 3.x. NetBSD 1.6.x Solaris 2.5.1, 2.6, 8.0, 9.0 HP-UX 11 Tru64 BSDI Mac OS X 4. パッケージ配布物 ------------------- README README.chklastlog README.chkwtmp COPYRIGHT chkrootkit.lsm Makefile chklastlog.c chkproc.c chkdirs.c chkwtmp.c check_wtmpx.c ifpromisc.c strings.c chkutmp.c chkrootkit 5. インストール ---------------  C 言語でコンパイルするには、次のようにします: # make sense  これでもう利用可能です。使う場合は次の単純な入力をして下さい。 # ./chkrootkit 6. 使い方 ---------  chkrootkit は root ユーザ権限がひつようです。一番簡単な動作確認方法は: # ./chkrootkit です。これにより全ての検査が実行されます。また必要に応じて以下のようなオプ ションを使用することも出来ます。 使い方: ./chkrootkit [オプション] [検査対象ファイル ...] オプション: -h このヘルプを表示して終了します -V バージョン情報を表示して終了します -l テスト対象のファイルを表示します -d デバッグ用です -q 静かなモードです -x エキスパートモードです -r dir 特定のディレクトリを / 階層として扱います -p dir1:dir2:dirN chkrootkit が使う外部コマンドのパスです -n NFS でマウントされているディレクトリは除外します  検査対象となるファイルは以下の通りです。 aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write  たとえば、改竄された可能性のある ps と ls コマンドに加え、ネットワーク・イ ンターフェースがプロミスキャスト・モードかどうか調べるには次のようなコマンド になります。 # ./chkrootkit ps ls sniffer  '-q' オプションを使うことで出力されるメッセージを出来るだけ控えたモードにな ります。このモードでは "infected" 状態のメッセージしか表示されません。  '-x' オプションを使うことで実際にどのようなファイルに対してどのような文字列 検査がおこなわれているか、ユーザからも分かるように全ての解析情報を表示します。  たくさんのデータが表示されるので、次のようにしてみてください。 # ./chkrootkit -x | more  システムコマンドのパスのみ調べるときは次のようにします。 # ./chkrootkit -x | egrep '^/'  chkrootkit は検査時に以下のコマンドを使います。  awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname.  もし可能であれば、これらのコマンド群が改竄されている事を前提に -p オプショ ンで安全な場所にあるファイルを使って検査するほうが良いでしょう。  たとえば /cdrom/bin にコマンドがある場合は、 # ./chkrootkit -p /cdrom/bin 複数のパスを 『:』 で区切れます # ./chkrootkit -p /cdrom/bin:/floppy/mybin  場合によっては改竄されたマシンの解析をするときに、ディスクを安全なマシンに マウントするという方法もあるでしょう。そのような時は改めてルートディレクトリ を指定するために '-r' オプションを用います。  たとえば、検査対象となるディスクが /mnt にマウントされている状態であれば、 次のようにしてみてください。 # ./chkrootkit -r /mnt 7. chkrootkit の出力メッセージについて --------------------------------------  chkrootkit によって以下のメッセージが表示されます(-x と -q オプション使用 時は除きます)。 * "INFECTED"(改竄されている): おそらく既知の rookit によって改竄されたコ マンドを発見しました。 * "not infected"(改竄されていない): rootkit によると思われる文字列が検出 できなかった場合に表示されます。 * "not tested"(テストされない): テストが実行されませんでした。これには以 下の理由が考えられます。 1. OS の特定ができない 2. 外部コマンドが利用できなかった 3. コマンドラインで特定のオプションが実行された(例 -r) * "not found"(見つかりません):検査対象のコマンドが見つからない場合です。 * "Vulnerable but disabled"(攻撃可能だが今は無効化されている): コマンドは 改竄されていますが、利用はなされていません。(コマンドが実行可能でないか inetd.conf に記述がない場合です) 8. コマンドが改竄された形跡が見つかりました。どうしたらいいですか? -------------------------------------------------------------------  このような場合、悪人によって root 権限が奪取され、マシンが危険な状態にさら されている重大問題となっています。  改竄されたコマンドを正しいファイルに置き換えることによっても問題を解決する ことはできますが、もっとも良い安全確実な方法は安全なメディア(オリジナルの CD-ROM など)から OS の再インストールを行い、ベンダーの推奨するセキュリティ 対策の指示に従うべきです。 9. 報告や質問 -------------  コメントや質問、バグレポートは nelson@pangeia.com.br と jessen@nic.br へお 送り下さい。  簡単な FAQ (よくあるQ&A集)と rootkit やセキュリティに関する情報は chkrootkit のホームページからご覧になれます。http://www.chkrootkit.org/ 10. 謝辞 -------- アーカイブファイルに含まれる ACKNOWLEDGMENTS ファイルをご覧下さい。 11. 更新記録 ------------- 02/20/1997 - 初リリース。 02/25/1997 - Version 0.4, 正式テスト開始。 03/30/1997 - Version 0.5, 特定のファイルのルーチンを追加。 06/11/1997 - Version 0.6, 細かなバグ修正と Debian への対応。 06/24/1997 - Version 0.7, FreeBSD との互換性修正。 08/07/1997 - Version 0.8, 別の FreeBSD 互換性修正と Red Hat RPM 修正。 04/02/1998 - Version 0.9, 新しい r00tkits バージョン対応。 07/03/1998 - Version 0.10, 別バージョンの r00tkits 対応。 10/15/1998 - Version 0.11, Alberto Courrege Gomide 氏が発見のバグ修正。 11/30/1998 - Version 0.12, lrk4 対応。 12/26/1998 - Version 0.13, Red Hat と glibc 利用者向けの若干の修正。 06/14/1999 - Version 0.14, Sun 社 Solaris の対応開始。 04/29/2000 - Version 0.15, lrk5 対応と細かいバグの修正。 07/09/2000 - Version 0.16, 新しい r00tkits への対応と提供されたパッチ反映。 09/16/2000 - Version 0.17, 様々なルートキットやカーネル・組み込み型モジュー ル(LKM)トロイの木馬型侵入ツールの検査機能を追加。 10/08/2000 - Version 0.18, 新しいルートキットへの対応と多くのバグ修正。 12/24/2000 - Version 0.19, -r, -p, -l オプション追加。ARK 対応。若干バグ修正。 01/18/2001 - Version 0.20, Ramen Worm と 最新の t0rnkit 検出に対応。Solaris は一時的チェックにプロミスキャス・モードを無効に。 01/19/2001 - Version 0.21, Ramen Worm 検出時のバグ対応。 01/26/2001 - Version 0.22, chklastlog 使用時の core dump(コア・ダンプト)の バグ修正、login と bindshell の修正。cron テスト。 03/12/2001 - Version 0.23, lrk6, rh[67]-shaper, RSHA と Romanian ルートキッ ト検出に対応。シェルの履歴(history)からの異常検出。 bindshell 検査用のポート追加。 03/15/2001 - Version 0.23a cron 時の bindshell 検査時に発見されたのバグ修正。 03/22/2001 - Version 0.30 新機能の多数通以下。RK17 と Lion ワーム対応。 04/07/2001 - Version 0.31 新機能:gpm, rlogind, mgetty に対応。Adore(アドー) ワーム検出対応。若干バグ修正。 05/07/2001 - Version 0.32 t0rn v8, LPD ワーム, kenny-rk および Adore LKM 検出に対応。Solaris 上での若干バグ修正。 06/02/2001 - Version 0.33 新機能追加。ShitC, Omega、Wormkit ワーム検出、 dsc-rootkit 検出、若干バグ修正。 09/19/2001 - Version 0.34 新機能追加。check_wtmpx.c 追加。 Ducoci ルートキット と x.c ワーム検出対応。 `-q' オプションの追加。 01/17/2002 - Version 0.35 検出機能追加:lsof および ldsopreload 。 strings.c 追加。bindshell 検査用のポート追加。 RST.b, duarawkz, knark LKM, Monkit, Hidrootkit, Bobkit, Pizdakit, t0rn v8.0 (variant) 検出対応 06/15/2002 - Version 0.36 検出機能追加:w 。 chkproc.c 追加。 Showtee, Optickit, T.R.K, MithRa's ルートキット、 George、SucKIT 検出対応。 09/16/2002 - Version 0.37 検出機能追加:scalper、slapper。 Scalper Worm、Slapper Worm、OpenBSD rk v1、 Illogic anSK ルートキット検出。 chklastlog.c と chkproc.c の改良 chkrootkit の若干の修正。 12/20/2002 - Version 0.38 chkdirs.c 追加。chkproc.c の改良。 slapper B, sebek LKM, LOC, Romanian ルートキット 検出の対応。検出機能追加:trojan tcpdump。 chkrootkit スクリプトの細かなバグ修正。 01/30/2003 - Version 0.39 chkdirs.c と chkproc.c の修正。chkrootkit スクリプトのバグ修正。(さらに) Slapper 亜種検出の 機能追加。 04/03/2003 - Version 0.40 chkproc.c 修正。Tru64 対応。chkrootkit の微修正。 検出機能追加:init 。 新ルートキット検出に対応:shv4、Aquatica、ZK。 06/20/2003 - Version 0.41 chkproc.c 修正。検出機能追加:vdir 。 新ワーム検出対応:55808.A と TC2 。 新ルートキット検出に対応:Volc、Gold2、Anonoying、 Suckit (improved)、 ZK (improved)。 細かな修正。 09/12/2003 - Version 0.42 chkdirs.c の BSDI 対応。chkproc.c 修正。 新ルートキット検出に対応:ShKit 。 Linux 2.4.x 向けの ifpromisc 機能の修正。-r オプ ション使用時の微細修正。 FreeBSD 5.x 対応。 HPUX 対応。 chklastlog.c 出力に "\n" が含まれていたのを修正。 09/18/2003 - Version 0.42a バグ修正版のリリース。 09/20/2003 - Version 0.42b バグ修正版のリリース。 12/27/2003 - Version 0.43 chkproc.c から C++ 向けのコメントを削除。新ルート キット検出に対応:AjaKit と zaRwT 。新しい CGI の バックドア検出機能追加。ifpromisc.c は新しいバー ジョンの Linux カーネルでも動作するように改良。 新しいコマンドライン上のオプション(-n)を追加し、 NFS マウントされたディレクトリを除外することも可。 細かなバグ群の修正。 09/01/2004 - Version 0.44 chkwtmp.c:削除カウンタ部分の修正。 chkproc.c:Linux スレッド機能の利用性能向上。 新ルートキット検出に対応:Madalin 。 多数のマイナーなバグ修正。 02/22/2005 - Version 0.45 chkproc.c: Linux スレッド機能の利用性能向上。 新ルートキット検出に対応:Fu、Kenga3、ESRK 。 新機能:chkutmp の -n オプションを改良。 マイナーなバグ修正。 10/26/2005 - Version 0.46 chkproc.c: Linux スレッド機能の利用性能向上。 chkutmp.c: 実行スピードの向上。 chkwtmp.c; セグメンテーション・フォルト修正。 新ルートキット検出に対応:rootedoor 。 Mac OS X 対応。マイナーなバグ修正。 10/28/2005 - Version 0.46a chkproc.c:FreeBSD 向けバグ修正。 chkproc が init に対して SIGXFSZ (kill -25) シグ ナルを送信してしまい、再起動を誘発させていた。 10/10/2006 - Version 0.47 chkproc.c: バグ修正。getpriority() 関数の使用。 Enye LKM 検出に対応。 chkrootkit: crontab 機能。 Enye LKM と Lupper.Worm 検出機能追加。 マイナーなバグ修正。 -------------- chkrootkit をご利用頂きありがとうございます。 --------------- ----------------------------------------------------------------------------- chkrootkit V. 0.47 Nelson Murilo (main author) Klaus Steding-Jessen (co-author) This program locally checks for signs of a rootkit. chkrootkit is available at: http://www.chkrootkit.org/ No illegal activities are encouraged! I'm not responsible for anything you may do with it. This tool includes software developed by the DFN-CERT, Univ. of Hamburg (chklastlog and chkwtmp), and small portions of ifconfig developed by Fred N. van Kempen, . 1. What's chkrootkit? --------------------- chkrootkit is a tool to locally check for signs of a rootkit. It contains: * chkrootkit: a shell script that checks system binaries for rootkit modification. * ifpromisc.c: checks if the network interface is in promiscuous mode. * chklastlog.c: checks for lastlog deletions. * chkwtmp.c: checks for wtmp deletions. * check_wtmpx.c: checks for wtmpx deletions. (Solaris only) * chkproc.c: checks for signs of LKM trojans. * chkdirs.c: checks for signs of LKM trojans. * strings.c: quick and dirty strings replacement. * chkutmp.c: checks for utmp deletions. chkwtmp and chklastlog *try* to check for deleted entries in the wtmp and lastlog files, but it is *not* guaranteed that any modification will be detected. Aliens tries to find sniffer logs and rootkit config files. It looks for some default file locations -- so it is also not guaranteed it will succeed in all cases. chkproc checks if /proc entries are hidden from ps and the readdir system call. This could be the indication of a LKM trojan. You can also run this command with the -v option (verbose). 2. Rootkits, Worms and LKMs detected ------------------------------------ For an updated list of rootkits, worms and LKMs detected by chkrootkit please visit: http://www.chkrootkit.org/ 3. Supported Systems -------------------- chkrootkit has been tested on: Linux 2.0.x, 2.2.x, 2.4.x and 2.6.x, FreeBSD 2.2.x, 3.x, 4.x and 5.x, OpenBSD 2.x and 3.x., NetBSD 1.6.x, Solaris 2.5.1, 2.6, 8.0 and 9.0, HP-UX 11, Tru64, BSDI and Mac OS X. 4. Package Contents ------------------- README README.chklastlog README.chkwtmp COPYRIGHT chkrootkit.lsm Makefile chklastlog.c chkproc.c chkdirs.c chkwtmp.c check_wtmpx.c ifpromisc.c strings.c chkutmp.c chkrootkit 5. Installation --------------- To compile the C programs type: # make sense After that it is ready to use and you can simply type: # ./chkrootkit 6. Usage -------- chkrootkit must run as root. The simplest way is: # ./chkrootkit This will perform all tests. You can also specify only the tests you want, as shown below: Usage: ./chkrootkit [options] [testname ...] Options: -h show this help and exit -V show version information and exit -l show available tests -d debug -q quiet mode -x expert mode -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs Where testname stands for one or more from the following list: aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write For example, the following command checks for trojaned ps and ls binaries and also checks if the network interface is in promiscuous mode. # ./chkrootkit ps ls sniffer The `-q' option can be used to put chkrootkit in quiet mode -- in this mode only output messages with `infected' status are shown. With the `-x' option the user can examine suspicious strings in the binary programs that may indicate a trojan -- all the analysis is left to the user. Lots of data can be seen with: # ./chkrootkit -x | more Pathnames inside system commands: # ./chkrootkit -x | egrep '^/' chkrootkit uses the following commands to make its tests: awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname. It is possible, with the `-p' option, to supply an alternate path to chkrootkit so it won't use the system's (possibly) compromised binaries to make its tests. To use, for example, binaries in /cdrom/bin: # ./chkrootkit -p /cdrom/bin It is possible to add more paths with a `:' # ./chkrootkit -p /cdrom/bin:/floppy/mybin Sometimes is a good idea to mount the disk from a compromised machine on a machine you trust. Just mount the disk and specify a new rootdir with the `-r' option. For example, suppose the disk you want to check is mounted under /mnt, then: # ./chkrootkit -r /mnt 7. Output Messages ------------------ The following messages are printed by chkrootkit (except with the -x and -q command options) during its tests: "INFECTED": the test has identified a command probably modified by a known rootkit; "not infected": the test didn't find any known rootkit signature. "not tested": the test was not performed -- this could happen in the following situations: a) the test is OS specific; b) the test depends on an external program that is not available; c) some specific command line options are given. (e.g. -r ). "not found": the command to be tested is not available; "Vulnerable but disabled": the command is infected but not in use. (not running or commented in inetd.conf) 8. A trojaned command has been found. What should I do now? ------------------------------------------------------------ Your biggest problem is that your machine has been compromised and this bad guy has root privileges. Maybe you can solve the problem by just replacing the trojaned command -- the best way is to reinstall the machine from a safe media and to follow your vendor's security recommendations. 9. Reports and questions ------------------------ Please send comments, questions and bug reports to nelson@pangeia.com.br and jessen@cert.br. A simple FAQ and Related information about rootkits and security can be found at chkrootkit's homepage, http://www.chkrootkit.org. 10. ACKNOWLEDGMENTS ------------------- See the ACKNOWLEDGMENTS file. 11. ChangeLog ------------- 02/20/1997 - Initial release 02/25/1997 - Version 0.4, formal testing. 03/30/1997 - Version 0.5, suspect files routine added. 06/11/1997 - Version 0.6, minor fixes and Debian compatibility. 06/24/1997 - Version 0.7, FreeBSD compatibility fixed. 08/07/1997 - Version 0.8, yet another FreeBSD compatibility and RedHat PAM fixed. 04/02/1998 - Version 0.9, new r00tkits versions support. 07/03/1998 - Version 0.10, another types of r00tkits supported. 10/15/1998 - Version 0.11, bug found by Alberto Courrege Gomide fixed. 11/30/1998 - Version 0.12, lrk4 support added. 12/26/1998 - Version 0.13, minor fixes for Red Hat and glibc users. 06/14/1999 - Version 0.14, Sun/Solaris initial support added. 04/29/2000 - Version 0.15, lrk5 features added and minor fixes. 07/09/2000 - Version 0.16, new r00tkits types support and contrib patches. 09/16/2000 - Version 0.17, more contrib patches, rootkit types and Loadable Kernel Modules (LKM) trojan checking added. 10/08/2000 - Version 0.18, new rookits types support and many bug fixes. 12/24/2000 - Version 0.19, -r, -p, -l options added. ARK support added. Some bug fixes. 01/18/2001 - Version 0.20, Ramen Worm and latest t0rnkit detection, temporay check for promisc mode disabled on Solaris boxes. 01/19/2001 - Version 0.21, Corrects a bug in the Ramen Worm detection. 01/26/2001 - Version 0.22, chklastlog core dump bug fixed, login and bindshell false positives fixed, cron test improvement. 03/12/2001 - Version 0.23, lrk6, rh[67]-shaper, RSHA and Romanian rootkit detection. Test for shell history file anomalies. More ports added to the bindshell test. 03/15/2001 - Version 0.23a fixes a bug found in the cron and bindshell tests. 03/22/2001 - Version 0.30 lots of new tests added. RK17 and Lion Worm detection. 04/07/2001 - Version 0.31 new tests: gpm, rlogind, mgetty. Adore Worm detection. Some bug fixes. 05/07/2001 - Version 0.32 t0rn v8, LPD Worm, kenny-rk and Adore LKM detection. Some Solaris bug fixes. 06/02/2001 - Version 0.33 new tests added. ShitC, Omega and Wormkit Worm detection. dsc-rootkit detection. Some bug fixes. 09/19/2001 - Version 0.34 new tests added. check_wtmpx.c added. Ducoci rootkit and x.c Worm detection. `-q' option added. 01/17/2002 - Version 0.35 tests added: lsof and ldsopreload. strings.c added. Ports added to the bindshell test. RST.b, duarawkz, knark LKM, Monkit, Hidrootkit, Bobkit, Pizdakit, t0rn v8.0 (variant) detection. 06/15/2002 - Version 0.36 test added: w. chkproc.c additions. Showtee, Optickit, T.R.K, MithRa's Rootkit, George and SucKIT detection. 09/16/2002 - Version 0.37 tests added: scalper and slapper. Scalper Worm, Slapper Worm, OpenBSD rk v1, Illogic and SK rootkit detection. chklastlog.c and chkproc.c improvements. Small chkrootkit bug fix. 12/20/2002 - Version 0.38 chkdirs.c added. chkproc.c improvements. slapper B, sebek LKM, LOC, Romanian rootkit detection. new test added: trojan tcpdump. Minor bug fixes in the chkrootkit script. 01/30/2003 - Version 0.39 chkdirs.c and chkproc.c fixes. bug fixes in the chkrootkit script. (more) Slapper variants detection. 04/03/2003 - Version 0.40 chkproc.c fixes. Tru64 support. small corrections in chkrootkit. New test added: init. New rootkits detected: shv4, Aquatica, ZK. 06/20/2003 - Version 0.41 chkproc.c fixes. New test added: vdir. New worms detected: 55808.A and TC2. New rootkits detected: Volc, Gold2, Anonoying, Suckit (improved), ZK (improved). Minor corrections. 09/12/2003 - Version 0.42 BSDI support for chkdirs.c. chkproc.c fix. New rootkit detected: ShKit. ifpromisc test fixed for Linux 2.4.x kernels. corrections for the -r option. FreeBSD 5.x support. HPUX correction. Extra "\n" removed from chklastlog.c output. 09/18/2003 - Version 0.42a Bug fix release. 09/20/2003 - Version 0.42b Bug fix release. 12/27/2003 - Version 0.43 C++ comments removed from chkproc.c. New rootkits detected: AjaKit and zaRwT. New CGI backdoors detected. ifpromisc.c: better detection of promisc mode on newer Linux kernels. New command line option (-n) to skip NFS mounted dirs. Minor bug corrections. 09/01/2004 - Version 0.44 chkwtmp.c: del counter fixed. chkproc.c: better support for Linux threads. New rootkit detected: Madalin. Lots of minor bug fixes. 02/22/2005 - Version 0.45 chkproc.c: better support for Linux threads. New rootkit detected: Fu, Kenga3, ESRK. New test: chkutmp. -n option improvement. Minor bug fixes. 10/26/2005 - Version 0.46 chkproc.c: more fixes to better support Linux threads. chkutmp.c: improved execution speed. chkwtmp.c: segfault fixed. New rootkit detected: rootedoor. Mac OS X support added. Minor bug fixes. 10/28/2005 - Version 0.46a chkproc.c: bug fix for FreeBSD: chkproc was sending a SIGXFSZ (kill -25) to init, causing a reboot. 10/10/2006 - Version 0.47 chkproc.c: bug fixes, use of getpriority(), Enye LKM detected. chkrootkit: crontab test, Enye LKM and Lupper.Worm detected, minor bug fixes. -------------- Thx for using chkrootkit ----------------