chkrootkit hiển thị trang web tcpd nghiêm trọng như INFECTED. Có phải là một dương tính giả?

25

Quét bởi chkrootkit cho thấy "tcpd" là INFECTED. Mặc dù quét bởi rkhunter cho thấy ok, (ngoại trừ dương tính giả thường xuyên)

Tôi có lo lắng không? (Tôi đang dùng Ubuntu 16.10 với 4.8.0-37-generic)

— thủy thủ
nguồn

2

ubuntuforums.org/showthread.php?t=2346505

— muru

muru, cảm ơn Nó đã giúp đỡ! ps Làm thế nào để tôi bỏ phiếu cho danh tiếng của người dùng? (bạn trong trường hợp này)

— mariner

Đó chỉ là một nhận xét. Tôi sẽ đăng một câu trả lời trong giây lát, mà bạn có thể chấp nhận, nếu bạn muốn.

— muru

Có quét trực tiếp sudo chkrootkit tcpdtrở lại infected?

— naXa

1

Của tôi đã xuất hiện dưới dạng INFECTED và nó không được cài đặt.

— Jason

36

Trong bài đăng trên Diễn đàn Ubuntu này , người dùng kpatz đã thử nghiệm điều này trong một máy ảo 16.10 mới và chkrootkit vẫn phàn nàn, làm cho điều này là dương tính giả. Bạn luôn có thể kiểm tra xem một tập tin đã bị giả mạo hay chưa bằng cách so sánh md5sum từ gói:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Tất nhiên, tập tin md5sums có thể bị giả mạo, (và cũng có thể md5sumnhư vậy ...).

— thầy
nguồn

1

Muru, cảm ơn bạn đã phản hồi nhanh chóng như vậy! Nó thực sự hữu ích. (tiếc là hệ thống sẽ không cho phép tôi bỏ phiếu cho danh tiếng của bạn Nó nói tôi chưa được phép để điều đó:. (((((

— mariner

Khi kiểm tra xem có thứ gì độc hại hay không và kiểm tra nó với MD5 phiên bản tốt đã biết có lẽ là hàm băm tồi tệ nhất để sử dụng do va chạm.

2

Trong trường hợp của tôi, sử dụng Ubuntu 18.04 tcpd thậm chí không được cài đặt và nó đã được báo cáo là bị nhiễm!

— Philippe Delteil

7

Đây là một dương tính giả gây ra bởi một lỗi trong tập lệnh chkrootkit chính. Tôi đã cố gắng để sửa lỗi ở đây, nhưng đã bị hạ cấp. Tôi đã báo cáo vấn đề với các nhà phát triển chkrootkit, nhưng nếu bạn muốn khắc phục sự cố để nó thực sự hoạt động, bạn có thể muốn xem: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733

0

Của tôi cũng được liệt kê là "INFECTED" (Ubuntu 18.10) ... vì vậy tôi đã kiểm tra chéo tcpd bằng tiện ích debsums tức là:

sudo debsums | grep tcpd

Nó được liệt kê là "OK".

— Jay Marm
nguồn

0

Bạn có thể thử tải chúng lên các trang web để thử nghiệm như virustotal và tôi tin rằng BitDefender có sẵn chương trình quét rootkit một phút (không chắc chắn về hỗ trợ đa hệ điều hành).

Nếu bạn có rootkit, không có cách nào để biết liệu đó có phải là dương tính giả không có tài liệu vững chắc như đã đăng ở trên hay không, xem xét rằng một chương trình độc hại có quyền truy cập root có thể ẩn đi. Bạn có vẻ lo ngại hoặc chỉ đang theo cú pháp của CAPS LOCKS, nhưng trong tương lai tôi sẽ khuyên bạn nên khoanh vùng và sao lưu các tệp cần thiết (thông qua đám mây hoặc bên ngoài mà bạn phải cẩn thận để không lây nhiễm chéo) như cơ sở dữ liệu , hình ảnh gia đình, công việc, video không lành mạnh, vv

kiểm tra tổng md5 cho sự không nhất quán cho các rác quan trọng. Mà hầu hết là bất cứ thứ gì có thể được cấp quyền truy cập root hoặc bản phân phối. Và nếu bạn đang chạy một bản cài đặt mới hoặc không ngại làm một cái, bạn luôn có thể xóa và kiểm tra nó một lần nữa.

Chỉnh sửa nhanh: BitDefender không thực sự cung cấp hỗ trợ cho bất kỳ thứ gì khác ngoài Windows. Sidenote, tất cả các chương trình chống vi-rút đang dữ liệu cho bạn và việc sử dụng internet của bạn. Mã nguồn mở ftw.

tl; dr về bản chất ngấm ngầm của rootkit và cách chúng dễ dàng lan truyền.

— avisitoritseems
nguồn