web-dev-qa-db-ja.com

chkrootkitは、「tcpd」を感染として表示します。誤検知ですか?

Chkrootkitによるスキャンでは、「tcpd」が感染していると表示されます。 rkhunterによるスキャンは問題ありませんが、(通常の誤検知を除く)

心配しませんか? (Ubuntu 16.10で4.8.0-37-genericを使用しています)

25
mariner

このUbuntuフォーラムの投稿 では、ユーザーkpatzがこれを新しい16.10 VMでテストしましたが、まだchkrootkitが文句を言っており、これは誤検知です。パッケージのmd5sumを比較することにより、ファイルが改ざんされているかどうかをいつでも確認できます。

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

もちろん、md5sumsファイル自体が改ざんされている可能性があります(md5sum自体なども同様です)。

36
muru

これは、メインのchkrootkitスクリプトのバグが原因の誤検知です。私はここに修正を投稿しようとしましたが、ダウン投票されました。 chkrootkit開発者に問題を報告しましたが、実際に機能するように問題を修正したい場合は、チェックアウトすることをお勧めします。 https://www.linuxquestions.org/questions/linux- security-4/chkrootkit-tcpd-521683/page2.html#post57887

7
user760856

私も「INFECTED」(Ubuntu 18.10)としてリストされていたので、debsumsユーティリティを使用してtcpdをクロスチェックしました。

Sudo debsums | grep tcpd

「OK」としてリストされました。

0
Jay Marm

Virustotalのようなテストのためにそれらをサイトにアップロードしてみてください。BitDefenderには1分間のルートキットスキャナープログラムがあります(マルチOSのサポートは不明です)。

ルートキットを持っている場合、ルートアクセス権を持つ悪意のあるプログラムが自分自身を隠すことができることを考えると、上記のように堅実なドキュメントなしで誤検知であるかどうかを知る方法はありません。あなたは心配しているようです、またはCAPS LOCKSの構文に従っているだけですが、将来的にはデータベースなどの重要なファイル(クラウドまたは外部感染しないように注意する必要がある外部)のボールトおよびバックアップをお勧めします、家族の写真、仕事、不快な動画など。

重要なジャンクの不整合については、md5の合計を確認してください。これは、ほとんどがルートアクセス権またはディストリビューション自体に付与できるものです。また、新規インストールを実行している場合、または実行してもかまわない場合は、いつでもワイプして確認できます。

クイック編集: BitDefender は、実際にはWindows以外のサポートを提供しません。サイドノート、すべてのウイルス対策プログラムはあなたとあなたのインターネット利用をデータマイニングしています。オープンソースftw。

tl;ルートキットの陰湿な性質に関するdr およびそれらの伝播の容易さ。

0
avisitoritseems