chkrootkit nói / sbin / init bị nhiễm, điều đó có nghĩa là gì?

30

Gần đây tôi đã chạy chkrootkitvà có dòng sau:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

Điều này có nghĩa là chính xác? Tôi nghe nói đây là một dương tính giả, chính xác những gì đang xảy ra.

Xin vui lòng và cảm ơn bạn.

10.04 security rootkit

— myusuf3
nguồn

34

Có khả năng đây là dương tính giả vì có lỗi trong chkrootkit (được cho là đã được sửa trong phiên bản mới hơn 0,50-3ubfox1). Rõ ràng chkrootkit không thực hiện kiểm tra đủ nghiêm ngặt.

Xem: https://bugs.launchpad.net/ubfox/+source/chkrootkit/+orms/454566

Ngoài ra, bạn có thể thử rkhunter tương tự như chkrootkit.

Một số thông tin khác: May mắn thay, chạy tệp `mà chkrootkit` cho chúng ta thấy rằng chkrootkit chỉ là một tập lệnh shell để chúng ta có thể kiểm tra trực tiếp.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Dòng chính là:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Vì các phiên bản gần đây của Ubuntu, việc chạy lệnh đó sẽ tạo ra một số đầu ra (cần chạy dưới dạng root hoặc sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Tuy nhiên, đây không phải là sự lây nhiễm của rootkit. Tôi cũng đã xem mã rkhunter và kiểm tra nghiêm ngặt hơn nhiều (kiểm tra tất cả các loại tệp bổ sung được cài đặt bởi rootkit).

Tôi đã thay đổi dòng 1003.194 trong tệp chkrootkit để không kiểm tra thực hiện kiểm tra / Proc / 1 / maps (nhớ lấy bản sao trước)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

— Simon B
nguồn

4

Điều này áp dụng cho V0,49 như được cài đặt bởi apt-get. Có vẻ như chkrootkit 0,50 (có sẵn từ chkrootkit.org trực tiếp) sửa lỗi dương tính giả này.

— Quog

nếu bạn muốn biết phiên bản đi kèm với ubuntu của bạn có một cái nhìn tại địa chỉ: packages.ubuntu.com/search?keywords=chkrootkit

— Édouard Lopez

Bởi vì điều này xuất hiện trong tìm kiếm khi tôi đang khắc phục sự cố, tôi muốn đề cập rằng có một cuộc thảo luận khác với thông tin bổ sung ở đây: Askubfox.com/questions/597432/ Lỗi

— Cody Sharp

2

Trên Kubfox 13.04 kể từ 2013-07-31

Đang chạy:

cat /sbin/init | egrep HOME

Sản xuất:

Binary file (standard input) matches

VÀ

Đang chạy:

cat /proc/1/maps | egrep "init."

Sản xuất KHÔNG đầu ra.

Lưu ý: Xóa thời gian tạo đầu ra (thay đổi "init." Thành "init")

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Vì vậy, nó xuất hiện với tôi rằng phần kiểm tra HOME là vấn đề.

Nếu người ta có thể đưa ra giả định rằng rkhunter có một kiểm tra hợp lệ, thì có lẽ cách dễ dàng chỉ là xóa phần này khỏi chkrootkit và chạy cả rkhunter và chkrootkit?

— người dùng180442
nguồn

1

Tôi có điều tương tự trên Ubuntu 14.04 32 bit. Nếu tôi thử strings /sbin/init | grep HOMEtôi nhận XDG_CACHE_HOME and XDG_CONFIG_HOMEđược rằng đó vẫn là một dương tính giả? Mục đích của việc tìm kiếm chuỗi "HOME" trong / sbin / init là gì? Tại sao điều đó nên tích cực?

— rubo77