Fedora 20x86_64でchkrootkit
を実行していました。ここにいくつかの疑わしい結果があります。これらが誤検知であるかどうか誰かが知っていますか?侵害されたシステムはありますか?
疑わしいファイルとディレクトリは次のとおりです。
Searching for suspicious files and dirs, it may take a while...
/usr/lib/.libgcrypt.so.11.hmac /usr/lib/python2.7/site-packages/martian
/testswithbogusmodules/.bogussubpackage /usr/lib/python2.7/site-packages/fail2ban
/tests/files/config/Apache-auth/digest_time/.htaccess /usr/lib/python2.7/site-
packages/fail2ban/tests/files/config/Apache-auth/digest_time/.htpasswd /usr/lib
/python2.7/site-packages/fail2ban/tests/files/config/Apache-auth/noentry
/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/Apache-
auth/basic/file/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files
/config/Apache-auth/basic/file/.htpasswd /usr/lib/python2.7/site-packages/fail2ban
/tests/files/config/Apache-auth/basic/authz_owner/.htaccess /usr/lib/python2.7
/site-packages/fail2ban/tests/files/config/Apache-auth/basic/authz_owner
/.htpasswd /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/Apache-
auth/digest_anon/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files
/config/Apache-auth/digest_anon/.htpasswd /usr/lib/python2.7/site-packages
/fail2ban/tests/files/config/Apache-auth/digest_wrongrelm/.htaccess /usr/lib
/python2.7/site-packages/fail2ban/tests/files/config/Apache-auth/digest_wrongrelm
/.htpasswd /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/Apache-
auth/digest/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files/config
/Apache-auth/digest/.htpasswd /usr/lib/python2.7/site-packages/pylons/docs/en
/.gitignore /usr/lib/python2.7/site-packages/pylons/templates/default_project
/+package+/templates/.distutils_placeholder /usr/lib/python2.7/site-packages
/pylons/templates/minimal_project/+package+/templates/.distutils_placeholder
/usr/lib/.libssl.so.1.0.1e.hmac /usr/lib/.libcrypto.so.1.0.1e.hmac /usr/lib
/.libssl.so.10.hmac /usr/lib/debug/.build-id /usr/lib/debug/usr/.dwz /usr/lib
/debug/.dwz /usr/lib/mono/xbuild-frameworks/.NETFramework /usr/lib
/.libcrypto.so.10.hmac
/usr/lib/python2.7/site-packages/martian/tests/withbogusmodules
/.bogussubpackage /usr/lib/debug/.build-id /usr/lib/debug/.dwz /usr/lib
/mono/xbuild-frameworks/.NETFramework
そして、これがありました:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
最後に:
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 1631 tty1 /usr/bin/X :0 vt1 -background none -nolisten tcp -seat seat0 -auth /var/run/kdm/A:0-EiPPra
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
ChkrootkitがクリーンなシステムでSuckitが見つかったと判断した場合の誤検知が報告されています。 Fedoraバグレポート は、ChkrootkitがFedora20の時点でまだ壊れていることを示しています。
誰もログインしていない場合(GUIログインプロンプトが表示されている場合)、Xサーバーのutmpエントリがないのは正常です。
したがって、これらの結果は、システムが感染していることを示すものではありません。もちろん、システムがクリーンであるという意味ではありません。適切に設計されたルートキットは、定義上、検出できません。