chkrootkit показывает "tcpd" как зараженный. Это ложный положительный результат?
Сканирование с помощью chkrootkit показывает "tcpd" как зараженный. Хотя сканирование rkhunter показывает нормально,(за исключением обычных ложных срабатываний)
Должен ли я волноваться? (Я на Ubuntu 16.10 с 4.8.0-37-generic)
4 ответа
В этом посте на форумах Ubuntu пользователь kpatz проверил это на свежей 16.10 ВМ и chkrootkit все еще жаловался, что делает его ложноположительным. Вы всегда можете проверить, был ли файл подделан, сравнив md5sum из пакета:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
Конечно, сам файл md5sums может быть подделан (и поэтому может md5sum сам и тд...).
Это ложное срабатывание, вызванное ошибкой в основном скрипте chkrootkit. Я пытался опубликовать исправление здесь, но был отклонен. Я сообщил о проблеме разработчикам chkrootkit, но если вы хотите решить проблему так, чтобы она действительно работала, вы можете проверить: https://www.linuxquestions.org/questions/linux-security-4/chkrootkit-tcpd-521683/page2.html
Мой также был указан как "INFECTED" (Ubuntu 18.10)... поэтому я перепроверил tcpd с помощью утилиты debsums, то есть:
sudo debsums | grep tcpd
Он был указан как "ОК".
Вы можете попробовать загрузить их на сайты для тестирования, например, virustotal, и я считаю, что BitDefender имеет программу сканирования руткитов в течение одной минуты (не уверен в поддержке нескольких ОС).
Если у вас есть руткит, нет способа узнать, является ли он ложным срабатыванием, без надежной документации, как было опубликовано выше, учитывая, что вредоносная программа с рут-доступом может спрятаться. Вы, кажется, обеспокоены или просто соблюдаете синтаксис CAPS LOCKS, но в будущем я бы порекомендовал создавать хранилища и создавать резервные копии важных файлов (либо через облако, либо через внешние файлы, которые вы должны позаботиться, чтобы не перекрестно инфицировать), например базы данных., семейные фотографии, работа, сомнительные видео и т. д.
проверьте сумму md5 на несоответствия для важного барахла. В основном это все, что может быть предоставлено пользователю root или самому дистрибутиву. И если вы запускаете новую установку или не против ее установки, вы всегда можете стереть и проверить ее еще раз.
Быстрое редактирование: BitDefender фактически не поддерживает ничего, кроме Windows. Sidenote, все антивирусные программы наносят ущерб вам и вашему использованию интернета. С открытым исходным кодом
tl;dr о коварной природе руткитов и о том, как легко они распространяются.