web-dev-qa-db-ja.com

chkrootkitの結果を理解できません

chkrootkitコマンドの出力を理解できませんでした:

$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory

これは何を意味するのでしょうか?

2
Dharmit

.*.hmacファイル 一部の暗号化ソフトウェアの署名ファイルfipscheck によって作成されます。彼らの存在はまったく疑わしいものではありません。それらは、Fedoraのchkrootkitからの commonfalsepositives のようです。

Firefoxの通常の部分であるfirefox-3.6/.autoregファイルに関しては、 notthefirst で、chkrootkitが文句を言うのを見ることができます。それ。

存在しない/proc/2980/fd/129は、おそらく、chkrootkitがファイルに到達しているときに、プロセス2980がファイルを閉じた(または終了した)ためです。

-qなしでより多くの情報を得るでしょう。

これらは誤検知である可能性があります。一方、chkrootkitを認識している攻撃者は、これらの既知の一般的な誤検知の1つにマルウェアを意図的に仕掛ける可能性があります。一方で、チェックしているシステム内からchkrootkitを実行することは、ほとんど役に立ちません。適切に作成されたマルウェアはカーネルにハッキングし、chkrootkitやその他の侵入ツールまたはマルウェア検出ツールに対してすべてが正常に見えるように調整します。

「そのようなファイルはありません」というエラーは、単に何かを見つけることを期待していて、見つけることができなかったことを意味します。この場合、実行中のシステムプロセスがありましたが、それに関連するprocエントリをチェックしようとしたとき、それらはありませんでした。これは、プロセスがクロークされて悪いことを意味する場合もあれば、見られる前に自然に停止したことを意味する場合もあります。

他のファイルは、chkrootkitが疑わしいと見なし、調査する必要があるシステム上のファイルです。 [edit:]この場合、それらはほとんどドットで始まるライブラリファイルですが、追加の拡張子もあります。これらのファイルが何であるかを調べて、それらがどこから来たのかを調べます。

1
Caleb