chkrootkit каже / sbin / init заражений, що це означає?

30

Нещодавно я бігав chkrootkitі отримав такий рядок:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

Що це означає саме? Я чув, що це хибний позитив, що саме відбувається.

Будь ласка і дякую.

10.04 security rootkit

— myusuf3
джерело

34

Ймовірно, це помилковий позитив, оскільки в chkrootkit є помилка (нібито виправлена в більш пізній версії 0.50-3ubuntu1). Мабуть, chkrootkit не проводить досить жорсткої перевірки.

Дивіться: https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Крім того, ви можете спробувати rkhunter, схожий на chkrootkit.

Ще трохи інформації: На щастя, запущений файл ` that chkrootkit` показує нам, що chkrootkit - це лише скрипт оболонки, щоб ми могли його безпосередньо перевірити.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключовий рядок:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Оскільки останні версії Ubuntu, запуск цієї команди дає певний вихід (потрібно запускати як root або sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однак це не зараження руткітом. Я також переглянув код rkhunter, і перевірки набагато жорсткіші (тестування на всілякі додаткові файли, встановлені rootkit).

Я змінив рядки 1003,1004 у файлі chkrootkit, щоб не перевірити виконувати перевірку / proc / 1 / maps (не забудьте зробити копію спочатку)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

— Симон Б
джерело

4

Це стосується V0.49, встановленого apt-get. Схоже, що chkrootkit 0,50 (доступний безпосередньо з chkrootkit.org ) виправляє цей хибний позитив.

— Quog

якщо ви хочете дізнатися, яка версія постачається разом із вашим ubuntu, подивіться на: pack.ubuntu.com/search?keywords=chkrootkit

— Édouard Lopez

Оскільки це з’явилось у пошуку, коли я вирішував проблеми, я хотів зазначити, що тут є ще одна дискусія з додатковою інформацією: askubuntu.com/questions/597432/…

— Коді Шарп,

2

На Kubuntu 13.04 станом на 31.07.2013

Запуск:

cat /sbin/init | egrep HOME

Виробляє:

Binary file (standard input) matches

І

Запуск:

cat /proc/1/maps | egrep "init."

Не дає виходу.

Примітка: Видалення періоду дає результат (зміна "init." На "init")

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Тому мені здається, що проблема, яка перевіряє HOME, є проблемою.

Якщо можна зробити припущення, що rkhunter має дійсну перевірку, то, можливо, найпростішим маршрутом є лише видалити цей розділ з chkrootkit і запустити і rkhunter, і chkrootkit?

— user180342
джерело

1

У мене те саме на Ubuntu 14.04 32 біт. Якщо я спробую strings /sbin/init | grep HOMEотримати, XDG_CACHE_HOME and XDG_CONFIG_HOMEце все-таки помилковий позитив? Яка мета пошуку рядка "HOME" в / sbin / init? Чому це повинно бути позитивом?

— rubo77