昨日ダウンロードした後、コンピューターがクラッシュしました。今日更新し、ルートキットを確認しました。パケットスニッファーを見つけました
eth0: PACKET SNIFFER(/sbin/dhclient[3966])
これを削除するにはどうすればよいですか?
誤検知である可能性があります。 rkhunterでチェックしてみてください。誤検知が少なくなるためです。 rkhunterをダウンロードし、使用方法の詳細については、 このサイトを参照
きれいになったら、心配する理由があります。
これも試してください:
rkhunter --check
update
Sudo rkhunter --propupd
rkhunter --check
ソース: ルートキットハンタープロジェクト
Dhclient はUbuntuの標準の「動的ホスト構成プロトコルクライアント」であり、固定IPはないがインターネットからは到達可能にする場合に必要です。
心配な場合は、 dhclient.conf で不要なエントリを確認する必要があります。
isc-dhcp-client
およびisc-dhcp-server
パッケージ(DHCPクライアントおよびサーバー)は、デーモンを定期的に再実行し、「パケットスニファー」の誤検知を引き起こします。 chkrootkit
パッケージの/etc/cron.daily/chkrootkit
スクリプトには、PIDを静的な文字列で置き換えようとする回避策があります。
ただし、誤検知の回避策は機能しません。これは、Debianでは、これらのパッケージのバイナリがバージョン番号で終わるために使用されていたためです。 /sbin/dhclient3
。ただし、chkrootkit
パッケージメンテナーは、/etc/cron.daily/chkrootkit
およびisc-dhcp-client
パッケージのバージョン4シリーズで動作するようにisc-dhcp-server
を更新したことはありません。これらのファイルにはバージョン番号がありません。
この問題を修正するには、/etc/cron.daily/chkrootkit
のバックアップコピーを作成してから編集して変更してください...
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \
...に...
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \
行末にバックスラッシュを残すように注意してください。