私は最近chkrootkit
を実行し、次の行を得ました:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
これはどういう意味ですか?これは偽陽性であり、正確に何が起こっているのかを聞いた。
お願いします。
Chkrootkitにバグがあるため(これは後のバージョン0.50-3ubuntu1で修正されたため)、これは誤検知である可能性があります。明らかに、chkrootkitは厳密な十分なチェックを実行していません。
参照: https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566
さらに、chkrootkitに似たrkhunterを試すこともできます。
さらなる情報:幸いなことに、file `which chkrootkit`を実行すると、chkrootkitが単なるシェルスクリプトであり、直接検査できることがわかります。
Searching for Suckit in the file /usr/sbin/chkrootkit we find:
### Suckit
if [ -f ${ROOTDIR}sbin/init ]; then
if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME || \
cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
then
echo "Warning: ${ROOTDIR}sbin/init INFECTED"
else
if [ -d ${ROOTDIR}/dev/.golf ]; then
echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
else
if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
fi
fi
fi
キーラインは次のとおりです。
cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."
Ubuntuの最近のバージョン以降、このコマンドを実行すると出力が生成されます(rootまたはSudoとして実行する必要があります)。
# Sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571 /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571 /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571 /sbin/init (deleted)
ただし、これはルートキットによる感染ではありません。私はrkhunterコードも調べましたが、チェックははるかに厳密です(ルートキットによってインストールされたあらゆる種類の追加ファイルのテスト)。
Chkrootkitファイルの行1003、1004を、/ proc/1/mapsのチェックを実行しないように変更しました(最初にコピーを取得することを忘れないでください)
if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME ) \
>/dev/null 2>&1
2013-07-31現在のKubuntu 13.04
ランニング:
cat /sbin/init | egrep HOME
生産物:
Binary file (standard input) matches
そして
ランニング:
cat /proc/1/maps | egrep "init."
出力を生成しません。
注:ピリオドを削除すると出力が生成されます(「init。」を「init」に変更)
b7768000-b779f000 r-xp 00000000 08:02 399192 /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192 /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192 /sbin/init
したがって、HOMEをチェックする部分が問題であるように思えます。
Rkhunterに有効なチェックがあると仮定できる場合、おそらく簡単なルートはこのセクションをchkrootkitから削除してrkhunterとchkrootkitの両方を実行することですか?