chkrootkit показує "tcpd" як ВЗАЄМО. Це хибний позитив?

25

Сканування chkrootkit показує, що "tcpd" є ЗАБЕЗПЕЧЕНО. Хоча сканування rkhunter показує нормально (за винятком звичайних помилкових позитивів)

Чи повинен я хвилюватися? (Я на Ubuntu 16.10 з 4.8.0-37-generic)

security  malware  rootkit  tcpdump  chkrootkit 
мореплавець
джерело
2
муру
муру, дякую! Це допомогло! ps Як я голосую за репутацію користувача? (ви в цьому випадку)
мариніст
Це був лише коментар. Я опублікую відповідь за мить, яку ви можете прийняти, якщо вам подобається.
муру
Чи sudo chkrootkit tcpdповертається пряме сканування infected?
naXa
1
Шахта також з'явилася ЗАБЕЗПЕЧЕНО, і вона не встановлена.
Джейсон

Відповіді:

36

У цій публікації на форумах Ubuntu користувач kpatz перевірив це у свіжому 16.10 VM, а chkrootkit все ще скаржився, роблячи це помилковим позитивом. Ви завжди можете перевірити, чи був підроблений файл, порівнюючи md5sum з пакету:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Звичайно, сам файл md5sums може бути підробленим (і так можна було б md5sumі так далі ...).

муру
джерело
1
Муру, дякую за таку швидку відповідь! Це було дуже корисно. ( До жаль , система не дозволить мені голосувати за свою репутацію Він каже , що я до сих пір не має до цього :. (((((
мореплавцю
Перевіряючи, чи є щось шкідливе чи ні, і перевіряючи це на відому хорошу версію, MD5, мабуть, є найгіршими хешсумами, які використовуються через зіткнення.
2
У моєму випадку використання Ubuntu 18.04 tcpd навіть не було встановлено, і його було зареєстровано як заражене!
Філіп Дельтейль
7

Це хибний позитив, викликаний помилкою в головному скрипті chkrootkit. Я спробував опублікувати виправлення тут, але було прийнято до уваги. Я повідомив про проблему розробникам chkrootkit, але якщо ви хочете виправити проблему, щоб вона фактично працювала, ви можете перевірити: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733

0

Шахта також була вказана як "ЗАПАЛЕНА" (Ubuntu 18.10) ... тому я перехрещував перевірку tcpd за допомогою утиліти debsums, тобто:

sudo debsums | grep tcpd

Це було зазначено як "ОК".

Джей Марм
джерело
0

Ви можете спробувати завантажити їх на сайти для тестування, такі як virustotal, і я вважаю, що у BitDefender є доступна однохвилинна програма для сканування руткітів (не впевнена в підтримці декількох ОС).

Якщо у вас є руткіт, ви не можете дізнатися, чи є хибним позитивом без твердої документації, як було розміщено вище, враховуючи, що шкідлива програма з кореневим доступом може приховати себе. Ви, мабуть, стурбовані або просто дотримуєтесь синтаксису CAPS LOCKS, але в майбутньому я б рекомендував склеювати та створювати резервні копії необхідних файлів (через хмару чи зовнішні, які потрібно подбати про те, щоб не заразитись), наприклад, бази даних , сімейні фотографії, робота, непогані відеоролики тощо.

перевірити суму md5 на невідповідність важливим мотлохам. Здебільшого це все, що може бути наділений кореневим доступом або самим дистрибутивом. І якщо ви працюєте з новою установкою або не проти зробити її, ви завжди можете її витерти і перевірити ще раз.

Швидке редагування: BitDefender насправді не пропонує підтримку нічого, крім Windows. З іншого боку, усі антивірусні програми обмінюються даними про вас та ваше Інтернет. Open Source ftw.

tl; dr про підступну природу руткітів і про те, як легко вони поширюються.

авізіторітеми
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.