Как проверить, что sbin/init не заражен?
Некоторое время chkrootkit показывал, что sbin / init заражен руткитом SuckIt. В начале этого года, когда впервые появилось предупреждение, быстрый поиск в Google показал, что это скорее всего ложное срабатывание.
Я сделал сегодня проверку снова, и снова chkrootkit говорит, что sbin / init заражен.
В нескольких статьях предлагалось проверить sbin / init с помощью RPM.
Я установил RPM и попробовал команду:
rpm -qf / sbin / init
и он вернулся:
Файл / sbin / init не принадлежит ни одному пакету
Я также где-то читал, что / sbin / init должен быть системной ссылкой (хотя это было для другого дистрибутива), а в моей системе / sbin / init - исполняемый файл.
команда,
ls -l / sbin / init
возвращает следующее:
-rwxr-xr-x 2 root root 252080 18 июля, 15:18 /sbin/init
В любом случае я могу проверить, что / sbin / init действительно не был заражен?
Я использую Ubuntu 14.04 LTS на своем ноутбуке (не подключен по локальной сети)
благодарю вас.
РЕДАКТИРОВАТЬ:
я установил и запустил rkhunter
его проверка на руткит "SuckIt" была отрицательной, однако позже сообщалось:
Выполнение дополнительных проверок руткитов Дополнительные проверки Suckit Rookit [Предупреждение]
а также,
Checking the local host...
Performing system boot checks
**Checking for local host name [ Found ]
Checking for system startup files [ Found ]**
Checking system startup files for malware [ None found ]
Performing group and account checks
**Checking for passwd file [ Found ]**
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
**Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]**
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
Rootkit checks...
Rootkits checked : 292
Possible rootkits: 1
Rootkit names : Suckit Rookit (additional checks)
Я должен беспокоиться?
ОБНОВЛЕНИЕ: просмотрев журнал rkhunter, я обнаружил, что причина, по которой он предупреждал о возможной зараженности suckit, заключалась в том, что было несколько жестких ссылок на / sbin / init, что я и сделал сам. после удаления дополнительной жесткой ссылки rkhunter сообщает о чистой системе.
так что в основном это просто chkrootkit, сообщающий о заражении Suckit, что является возможным ложным срабатыванием.
2 ответа
Вы можете проверить целостность /sbin/init, установив пакет "debsums" и запустив debsums -c,
Это проверит все файлы в системе и сообщит вам, были ли они изменены с момента их установки из своих файлов.deb (если они получены из файлов.deb).
Если он возвращается без сообщения о каких-либо изменениях, /sbin/init не был изменен.
Если вы хотите проверить конкретный пакет без проверки всей системы (что приведет к большому количеству операций ввода-вывода и может занять время), вы можете узнать, какой пакет используется. dpkg -S /path/to/filename, например:
# dpkg -S /sbin/init
upstart: /sbin/init
Это говорит о том, что файл был установлен пакетом "upstart" (по крайней мере, 14.04).
Вы можете использовать dpkg --verify upstart и он скажет вам, если какие-либо файлы были изменены из базовой выскочки.deb.
clamav, вероятно, обнаружит этот вирус? Не знаю, как чистить файлы. Возможно, вам нужно начать сеанс восстановления, смонтировать live cd вручную. Скопируйте init с компакт-диска на ваш жесткий диск.