当我运行chkrootkit时,我得到以下结果:
Searching for suspect PHP files... /usr/bin/find: `/tmp/sess_nq0tiekcsl41jb93795gnrug54': No such file or directory /usr/bin/find: `/tmp/sess_s904a26ph28gpspdh1bpke6fg6': No such file or directory /usr/bin/find: `/tmp/sess_5efg9ic1bebo93q1c2c9d86qu3': No such file or directory 它经常发生 – 50个扫描中有一个显示了这一点。
这是什么意思?
你正在看的chkrootkit的一部分是这样的:
### ### Suspect PHP files ### if [ "${QUIET}" != "t" ]; then printn "Searching for suspect PHP files... "; fi files="`${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -name '*.php' 2> /dev/null`" fileshead="`${find} ${ROOTDIR}tmp ${ROOTDIR}var/tmp ${findargs} -type f -exec head -1 {} \; | grep php 2> /dev/null`" if [ "${files}" = "" -a "${fileshead}" = "" ]; then if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi else echo "${files}" echo "${fileshead}" fi
这是导致错误的第二个find命令。 问题是find命令find一个文件和它到达-exec部分并在文件上运行head之间存在争用条件。 在这两个时刻之间,另一个过程是删除一些旧的,过期的PHP会话文件。
在基于Debian的发行版中,这通常是/etc/cron.d/php5中的一个cron作业,每分钟运行9和39分钟。 我不确定基于RedHat的发行版是怎么做的,当然,这是可定制的。 PHP有一个内置的机制来触发会话清理线程,每次请求的概率为1000(概率也是可configuration的)。
您在1/50的费率可能是由于任何机制删除旧的PHP会话文件的轻微变化的结果。