chkrootkit
コマンドの出力を理解できませんでした:
$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory
これは何を意味するのでしょうか?
.*.hmac
ファイル 一部の暗号化ソフトウェアの署名ファイル 、 fipscheck によって作成されます。彼らの存在はまったく疑わしいものではありません。それらは、Fedoraのchkrootkitからの commonfalsepositives のようです。
Firefoxの通常の部分であるfirefox-3.6/.autoreg
ファイルに関しては、 notthefirst で、chkrootkitが文句を言うのを見ることができます。それ。
存在しない/proc/2980/fd/129
は、おそらく、chkrootkitがファイルに到達しているときに、プロセス2980がファイルを閉じた(または終了した)ためです。
-q
なしでより多くの情報を得るでしょう。
これらは誤検知である可能性があります。一方、chkrootkitを認識している攻撃者は、これらの既知の一般的な誤検知の1つにマルウェアを意図的に仕掛ける可能性があります。一方で、チェックしているシステム内からchkrootkitを実行することは、ほとんど役に立ちません。適切に作成されたマルウェアはカーネルにハッキングし、chkrootkitやその他の侵入ツールまたはマルウェア検出ツールに対してすべてが正常に見えるように調整します。
「そのようなファイルはありません」というエラーは、単に何かを見つけることを期待していて、見つけることができなかったことを意味します。この場合、実行中のシステムプロセスがありましたが、それに関連するprocエントリをチェックしようとしたとき、それらはありませんでした。これは、プロセスがクロークされて悪いことを意味する場合もあれば、見られる前に自然に停止したことを意味する場合もあります。
他のファイルは、chkrootkitが疑わしいと見なし、調査する必要があるシステム上のファイルです。 [edit:]この場合、それらはほとんどドットで始まるライブラリファイルですが、追加の拡張子もあります。これらのファイルが何であるかを調べて、それらがどこから来たのかを調べます。