パケットスニファーが見つかりました、次は何ですか？

Question

昨日ダウンロードした後、コンピューターがクラッシュしました。今日更新し、ルートキットを確認しました。パケットスニッファーを見つけました

eth0: PACKET SNIFFER(/sbin/dhclient[3966])

これを削除するにはどうすればよいですか？

eth0: PACKET SNIFFER(/sbin/dhclient[3966])

これを削除するにはどうすればよいですか？

Mitch · Accepted Answer

誤検知である可能性があります。 rkhunterでチェックしてみてください。誤検知が少なくなるためです。 rkhunterをダウンロードし、使用方法の詳細については、このサイトを参照

きれいになったら、心配する理由があります。

これも試してください：

rkhunter --check
update
Sudo rkhunter --propupd
rkhunter --check

^{ソース：ルートキットハンタープロジェクト}

Takkat · Answer

Dhclient はUbuntuの標準の「動的ホスト構成プロトコルクライアント」であり、固定IPはないがインターネットからは到達可能にする場合に必要です。

心配な場合は、 dhclient.conf で不要なエントリを確認する必要があります。

Alastair Irvine · Answer

isc-dhcp-clientおよびisc-dhcp-serverパッケージ（DHCPクライアントおよびサーバー）は、デーモンを定期的に再実行し、「パケットスニファー」の誤検知を引き起こします。 chkrootkitパッケージの/etc/cron.daily/chkrootkitスクリプトには、PIDを静的な文字列で置き換えようとする回避策があります。

ただし、誤検知の回避策は機能しません。これは、Debianでは、これらのパッケージのバイナリがバージョン番号で終わるために使用されていたためです。 /sbin/dhclient3。ただし、chkrootkitパッケージメンテナーは、/etc/cron.daily/chkrootkitおよびisc-dhcp-clientパッケージのバージョン4シリーズで動作するようにisc-dhcp-serverを更新したことはありません。これらのファイルにはバージョン番号がありません。

この問題を修正するには、/etc/cron.daily/chkrootkitのバックアップコピーを作成してから編集して変更してください...

sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER$(/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]$,eth$$0|1$$: PACKET SNIFFER$[dhclient3|dhcpd3]{PID}$,' \

...に...

sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER$(/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]$,eth$$0|1$$: PACKET SNIFFER$[dhclient|dhcpd]{PID}$,' \

行末にバックスラッシュを残すように注意してください。