web-dev-qa-db-ja.com

パケットスニファーが見つかりました、次は何ですか?

昨日ダウンロードした後、コンピューターがクラッシュしました。今日更新し、ルートキットを確認しました。パケットスニッファーを見つけました

eth0: PACKET SNIFFER(/sbin/dhclient[3966])

これを削除するにはどうすればよいですか?

4
Wes

誤検知である可能性があります。 rkhunterでチェックしてみてください。誤検知が少なくなるためです。 rkhunterをダウンロードし、使用方法の詳細については、 このサイトを参照

きれいになったら、心配する理由があります。

これも試してください:

  1. rkhunter --check

  2. update

  3. Sudo rkhunter --propupd

  4. rkhunter --check

ソース: ルートキットハンタープロジェクト

5
Mitch

Dhclient はUbuntuの標準の「動的ホスト構成プロトコルクライアント」であり、固定IPはないがインターネットからは到達可能にする場合に必要です。

心配な場合は、 dhclient.conf で不要なエントリを確認する必要があります。

2
Takkat

isc-dhcp-clientおよびisc-dhcp-serverパッケージ(DHCPクライアントおよびサーバー)は、デーモンを定期的に再実行し、「パケットスニファー」の誤検知を引き起こします。 chkrootkitパッケージの/etc/cron.daily/chkrootkitスクリプトには、PIDを静的な文字列で置き換えようとする回避策があります。

ただし、誤検知の回避策は機能しません。これは、Debianでは、これらのパッケージのバイナリがバージョン番号で終わるために使用されていたためです。 /sbin/dhclient3。ただし、chkrootkitパッケージメンテナーは、/etc/cron.daily/chkrootkitおよびisc-dhcp-clientパッケージのバージョン4シリーズで動作するようにisc-dhcp-serverを更新したことはありません。これらのファイルにはバージョン番号がありません。

この問題を修正するには、/etc/cron.daily/chkrootkitのバックアップコピーを作成してから編集して変更してください...

sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \

...に...

sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \

行末にバックスラッシュを残すように注意してください。

1
Alastair Irvine