Как лечить предполагаемый ложный положительный чкрооткит
Я установил chkrootkit с apt-install в только что установленном сервере Ubuntu 16.04.3.
chkrootkit обнаружил подозрительные файлы и каталоги после первого запуска:
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
Я заметил, что три года назад другой пользователь на stackexchange обнаружил те же ложные срабатывания и разместил Chkrootkit, обнаружив множество подозрительных файлов и каталогов, и / sbin / init INFECTED.
В FAQ № 8 на официальном сайте chkrootkit говорится, что они не могут внести ложные срабатывания в белый список, потому что злоумышленник может использовать это, поскольку он знает, что chkrootkit будет игнорировать определенные файлы и каталоги.
Что вы предлагаете делать с этим длинным списком файлов и каталогов? Как я могу проверить, что они ложные срабатывания? Если они являются ложными срабатываниями, есть ли способ сравнить эти файлы с их исходным содержимым (как с пакетами, использующими dpkg -V)?
1 ответ
Вы можете проверить свои пакеты (несколько) с помощью debsums
sudo apt install debsums
затем
sudo debsums
По умолчанию он пропускает конфигурационные файлы, чтобы включить их
sudo debsums -a
Чтобы показать только ошибки, используйте флаг -s
sudo debsums -as
Для подробностей и дополнительных опций смотрите man debsums
http://manpages.ubuntu.com/manpages/zesty/en/man1/debsums.1.html
If you are looking for an integrity checker that can run from safe
media, do integrity checks on checksum databases and can be easily
configured to run periodically to warn the admin of changes see other
tools such as: aide, integrit, samhain, or tripwire.
Эти инструменты (aide, integrarit, samhain или tripwire) должны быть установлены / инициализированы на новой установке / известной исправной системе и предпочтительно запускаться с живого носителя, поскольку инструменты взлома могут победить эти инструменты на взломанной системе.