Возможный руткит (ложно возможный???)

Question

Возможный руткит (ложно возможный???)

Хорошего дня:

когда я делаю rkhunter --check показывает мне, что у меня есть возможные руткиты:

/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: неожиданный оператор
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: неожиданный оператор
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: неожиданный оператор
    Проверка на наличие подозрительных (больших) сегментов разделяемой памяти [Предупреждение]

В /var/log/rkhunter.log покажи мне это:

Предупреждение. Обнаружены следующие подозрительные (большие) сегменты разделяемой памяти:
[21:17:06] Процесс: /usr/lib/firefox/firefox (удален). PID: 9750 Владелец: louie Размер: 4,0MB (настроенный размер: 1,0MB)
[21:17:07] Процесс: /usr/lib/firefox/firefox (удален). PID: 9750 Владелец: louie Размер: 4,0MB (настроенный размер: 1,0MB)
[21:17:07] Процесс: /usr/bin/konsole (удален). PID: 11415 Владелец: louie Размер: 1,7MB (настроенный размер: 1,0MB)

С Chkrootkit только показать мне инфекцию: "tcpd" я прочитал в нескольких местах, что это ложный положительный результат.

Рхунтер тоже может быть ложным срабатыванием? Благодарю.

2

kde5 rkhunter rootkit chkrootkit

Источник

louiesanchezdj 05 июн '18 в 19:35

0 ответов

Другие вопросы по тегам kde5 rkhunter rootkit chkrootkit

rubo77 28 окт '19 в 01:32 2019-10-28 01:32 · Answer 1 · 2019-10-28 01:32

Конечно, на первом запуске, rkhunter показывает много ложных срабатываний и Firefox является одним из широко известных. Это можно игнорировать в /etc/rkhunter.confфайл, раскомментировав уже показанный пример

ALLOWIPCPROC=/usr/bin/firefox

Вокруг есть и другие известные ложные срабатывания, но я не смог найти объяснения, как выяснить, известно ли, что процесс использует большие объемы памяти.

Я надеюсь, что скоро получу ответ: https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments

см. также: https://serverfault.com/a/937301/128892