Чкрооткит ложноположительный "белый список"

Question

Чкрооткит ложноположительный "белый список"

Я хочу "белый список" некоторых ложных срабатываний chkrootkit, поэтому я хотел бы использовать /etc/chkrootkit.conf как "белый список".

Но это не работаетRUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'

И я все еще получаю следующие ложные срабатывания:

Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])

Я знаю, что это не настоящий белый список, но ложные срабатывания не должны отправлять мне электронные письма каждый день.chkrootkit version 0.49

3

14.04 security chkrootkit

Источник

Alex W. 05 сен '16 в 13:04

1 ответ

Решение

Другие вопросы по тегам 14.04 security chkrootkit

Rinzwind 05 сен '16 в 13:23 2016-09-05 13:23 · Accepted Answer · 2016-09-05 13:23

Вы можете положить их в...

/etc/chkrootkit.filter

Когда вы положите это в...

^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$

он будет игнорировать dhclient на eth0. Добавить этот файл в /etc/cron.daily/chkrootkit, Найти...

$CHKROOTKIT $RUN_DAILY_OPTS

с вашим любимым редактором и измените его на...

$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true

и (где-то в начале) добавить...

FILTER=/etc/chkrootkit.filter

после...

CF=/etc/chkrootkit.conf

Перед тем как начать делать...

./chkrootkit

Он должен показать ложную положительную ссылку на dhclient и после редактирования запустите его снова. Ссылка на dhclient должна быть удалена.

Имейте в виду: все, что вы добавляете к этому заражению, больше не будет предупреждено. Так что будьте осторожны с этим типом фильтрации. Лучше было бы, чтобы "они" обновили свои определения.