chkrootkit сообщает о заражении tcpd, стоит ли мне беспокоиться?
Я побежал sudo chkrootkit сегодня и было сказано это как часть вывода:
Checking `tcpd'... INFECTED
Я использую Ubuntu GNOME 16.10 с GNOME 3.22, что это значит, следует ли мне беспокоиться и как мне продолжить расследование?
Обновление информации:
Я побежал sudo chkrootkit -d -x tcpd как предложено в комментариях, и это был выход:
+ [ / != / ]
+ [ != t ]
+ echo ROOTDIR is `/'
ROOTDIR is `/'
+ echo amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write
+ /bin/egrep (^|[^A-Za-z0-9_])tcpd([^A-Za-z0-9_]|$)
+ [ t != t -a != t ]
+ chk_tcpd
+ STATUS=1
+ TCPD_INFECTED_LABEL=p1r0c4|hack|/dev/xmx|/dev/hdn0|/dev/xdta|/dev/tux
+ [ -r /etc/inetd.conf ]
+ /bin/ps auwx+
/bin/egrep xinetd
+ /bin/egrep -v grep
+ [ -z ]
+ loc tcpd tcpd /usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin /snap/bin /sbin /usr/sbin /lib /usr/lib /usr/libexec .
+ thing=tcpd
+ shift
+ dflt=tcpd
+ shift
+ :
+ test -f /usr/local/sbin/tcpd
+ :
+ test -f /usr/local/bin/tcpd
+ :
+ test -f /usr/sbin/tcpd
+ echo /usr/sbin/tcpd
+ exit 0
+ CMD=/usr/sbin/tcpd
+ [ tcpd = /usr/sbin/tcpd -o ! -f /usr/sbin/tcpd ]
+ [ t = t ]
+ expertmode_output /usr/bin/strings -a /usr/sbin/tcpd
+ echo ###
###
+ echo ### Output of: /usr/bin/strings -a /usr/sbin/tcpd
### Output of: /usr/bin/strings -a /usr/sbin/tcpd
+ echo ###
###
+ eval /usr/bin/strings -a /usr/sbin/tcpd
+ /usr/bin/strings -a /usr/sbin/tcpd
/lib64/ld-linux-x86-64.so.2
libwrap.so.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
eval_client
_fini
refuse
sock_host
deny_severity
allow_severity
clean_exit
request_init
hosts_access
fix_options
eval_hostaddr
libc.so.6
execv
strrchr
__stack_chk_fail
openlog
__syslog_chk
umask
__strcpy_chk
__sprintf_chk
__libc_start_main
closelog
_edata
__bss_start
_end
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
[]A\
[]A\A]A^A_
/usr/sbin
%s/%s
connect from %s (%s)
error: cannot execute %s: %m
;*3$"
tcpd
.shstrtab
.interp
.note.ABI-tag
.note.gnu.build-id
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got
.got.plt
.data
.bss
.gnu_debuglink
+ return 0
+ return 5
+ STATUS=5
+ [ = t ]
+ exit 0
И выход для sudo chkrootkit -d tcpd является:
+ [ / != / ]
+ [ != t ]
+ echo ROOTDIR is `/'
ROOTDIR is `/'
+ + echo amd basename biff chfn chsh cron crontab date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf identd init killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write/bin/egrep (^|[^A-Za-z0-9_])tcpd([^A-Za-z0-9_]|$)
+ [ != t -a != t ]
+ printn Checking `tcpd'...
+ printf=use printf
+ printf_fmt=%-60s
+ [ ! ]
+ which printf
+ PRINTF_BIN=/usr/bin/printf
+ [ ! /usr/bin/printf ]
+ [ /usr/bin/printf ]
+ [ use printf ]
+ /usr/bin/printf %-60s Checking `tcpd'...
Checking `tcpd'... + chk_tcpd
+ STATUS=1
+ TCPD_INFECTED_LABEL=p1r0c4|hack|/dev/xmx|/dev/hdn0|/dev/xdta|/dev/tux
+ [ -r /etc/inetd.conf ]
+ /bin/egrep -v grep
+ /bin/egrep xinetd
+ /bin/ps auwx
+ [ -z ]
+ loc tcpd tcpd /usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin /snap/bin /sbin /usr/sbin /lib /usr/lib /usr/libexec .
+ thing=tcpd
+ shift
+ dflt=tcpd
+ shift
+ :
+ test -f /usr/local/sbin/tcpd
+ :
+ test -f /usr/local/bin/tcpd
+ :
+ test -f /usr/sbin/tcpd
+ echo /usr/sbin/tcpd
+ exit 0
+ CMD=/usr/sbin/tcpd
+ [ tcpd = /usr/sbin/tcpd -o ! -f /usr/sbin/tcpd ]
+ [ = t ]
+ /usr/bin/strings -a /usr/sbin/tcpd
+ /bin/egrep p1r0c4|hack|/dev/xmx|/dev/hdn0|/dev/xdta|/dev/tux
+ return 1
+ STATUS=1
+ [ = t ]
+ echo not infected
not infected
+ exit 0