chkrootkit показывает «tcpd» как зараженный. Это ложный положительный результат?
25
Сканирование с помощью chkrootkit показывает "tcpd" как зараженный. Хотя сканирование rkhunter показывает нормально, (за исключением обычных ложных срабатываний)
Должен ли я волноваться? (Я на Ubuntu 16.10 с 4.8.0-37-generic)
Муру, спасибо! Это помогло! ps Как мне проголосовать за репутацию пользователя? (вы в данном случае)
моряк
Это был просто комментарий. Я отправлю ответ через мгновение, которое вы можете принять, если хотите.
Муру
Есть ли прямые сканирования sudo chkrootkit tcpdвозвращается infected?
naXa
1
Мой также был заражен и не установлен.
Джейсон
Ответы:
36
В этом посте на форумах Ubuntu пользователь kpatz проверил это на свежей 16.10 ВМ и chkrootkit все еще жаловался, что делает его ложноположительным. Вы всегда можете проверить, был ли файл подделан, сравнив md5sum из пакета:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
Конечно, сам файл md5sums может быть подделан (и так мог md5sumсам и так далее ...).
Муру, спасибо за такой быстрый ответ! Это было действительно полезно. ( к сожалению , система не позволит мне голосовать за свою репутацию Он говорит , что я до сих пор не имеет к этому:. (((((
мореплавателю
При проверке, является ли что-то вредоносным или нет, и при проверке на наличие известной хорошей версии, MD5, вероятно, являются худшими хэш-кодами для использования из-за коллизий.
2
В моем случае, при использовании Ubuntu 18.04 tcpd даже не был установлен, и он был зарегистрирован как зараженный!
Вы можете попробовать загрузить их на сайты для тестирования, например, virustotal, и я считаю, что BitDefender имеет программу сканирования руткитов в течение одной минуты (не уверен в поддержке нескольких ОС).
Если у вас есть руткит, нет способа узнать, является ли он ложным срабатыванием, без надежной документации, как было опубликовано выше, учитывая, что вредоносная программа с рут-доступом может спрятаться. Вы, кажется, обеспокоены или просто соблюдаете синтаксис CAPS LOCKS, но в будущем я бы порекомендовал создавать хранилища и создавать резервные копии важных файлов (либо через облако, либо через внешние файлы, которые вы должны позаботиться, чтобы избежать перекрестного заражения), таких как базы данных. , семейные фотографии, работа, сомнительные видео и т. д.
проверьте сумму md5 на несоответствия для важного барахла. В основном это все, что может быть предоставлено пользователю root или самому дистрибутиву. И если вы запускаете новую установку или не против ее установки, вы всегда можете стереть и проверить ее еще раз.
Быстрое редактирование:
BitDefender фактически не поддерживает ничего, кроме Windows. Sidenote, все антивирусные программы наносят ущерб вам и вашему использованию интернета. С открытым исходным кодом
sudo chkrootkit tcpd
возвращаетсяinfected
?Ответы:
В этом посте на форумах Ubuntu пользователь kpatz проверил это на свежей 16.10 ВМ и chkrootkit все еще жаловался, что делает его ложноположительным. Вы всегда можете проверить, был ли файл подделан, сравнив md5sum из пакета:
Конечно, сам файл md5sums может быть подделан (и так мог
md5sum
сам и так далее ...).источник
Это ложное срабатывание, вызванное ошибкой в основном скрипте chkrootkit. Я пытался опубликовать исправление здесь, но был отклонен. Я сообщил о проблеме разработчикам chkrootkit, но если вы хотите решить проблему так, чтобы она действительно работала, вы можете проверить: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-TCPD-521683 / page2.html # post5788733
источник
Мой также был указан как «INFECTED» (Ubuntu 18.10) ... поэтому я перепроверил tcpd с помощью утилиты debsums, то есть:
Он был указан как «ОК».
источник
Вы можете попробовать загрузить их на сайты для тестирования, например, virustotal, и я считаю, что BitDefender имеет программу сканирования руткитов в течение одной минуты (не уверен в поддержке нескольких ОС).
Если у вас есть руткит, нет способа узнать, является ли он ложным срабатыванием, без надежной документации, как было опубликовано выше, учитывая, что вредоносная программа с рут-доступом может спрятаться. Вы, кажется, обеспокоены или просто соблюдаете синтаксис CAPS LOCKS, но в будущем я бы порекомендовал создавать хранилища и создавать резервные копии важных файлов (либо через облако, либо через внешние файлы, которые вы должны позаботиться, чтобы избежать перекрестного заражения), таких как базы данных. , семейные фотографии, работа, сомнительные видео и т. д.
проверьте сумму md5 на несоответствия для важного барахла. В основном это все, что может быть предоставлено пользователю root или самому дистрибутиву. И если вы запускаете новую установку или не против ее установки, вы всегда можете стереть и проверить ее еще раз.
Быстрое редактирование: BitDefender фактически не поддерживает ничего, кроме Windows. Sidenote, все антивирусные программы наносят ущерб вам и вашему использованию интернета. С открытым исходным кодом
tl; dr о коварной природе руткитов и о том, как легко они распространяются.
источник