chkrootkit показывает «tcpd» как зараженный. Это ложный положительный результат?

25

Сканирование с помощью chkrootkit показывает "tcpd" как зараженный. Хотя сканирование rkhunter показывает нормально, (за исключением обычных ложных срабатываний)

Должен ли я волноваться? (Я на Ubuntu 16.10 с 4.8.0-37-generic)

— мореплаватель
источник

2

ubuntuforums.org/showthread.php?t=2346505

— Муру

Муру, спасибо! Это помогло! ps Как мне проголосовать за репутацию пользователя? (вы в данном случае)

— моряк

Это был просто комментарий. Я отправлю ответ через мгновение, которое вы можете принять, если хотите.

— Муру

Есть ли прямые сканирования sudo chkrootkit tcpdвозвращается infected?

— naXa

1

Мой также был заражен и не установлен.

— Джейсон

36

В этом посте на форумах Ubuntu пользователь kpatz проверил это на свежей 16.10 ВМ и chkrootkit все еще жаловался, что делает его ложноположительным. Вы всегда можете проверить, был ли файл подделан, сравнив md5sum из пакета:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Конечно, сам файл md5sums может быть подделан (и так мог md5sumсам и так далее ...).

— Мур
источник

1

Муру, спасибо за такой быстрый ответ! Это было действительно полезно. ( к сожалению , система не позволит мне голосовать за свою репутацию Он говорит , что я до сих пор не имеет к этому:. (((((

— мореплавателю

При проверке, является ли что-то вредоносным или нет, и при проверке на наличие известной хорошей версии, MD5, вероятно, являются худшими хэш-кодами для использования из-за коллизий.

2

В моем случае, при использовании Ubuntu 18.04 tcpd даже не был установлен, и он был зарегистрирован как зараженный!

— Филипп Делтейл

7

Это ложное срабатывание, вызванное ошибкой в основном скрипте chkrootkit. Я пытался опубликовать исправление здесь, но был отклонен. Я сообщил о проблеме разработчикам chkrootkit, но если вы хотите решить проблему так, чтобы она действительно работала, вы можете проверить: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-TCPD-521683 / page2.html # post5788733

0

Мой также был указан как «INFECTED» (Ubuntu 18.10) ... поэтому я перепроверил tcpd с помощью утилиты debsums, то есть:

sudo debsums | grep tcpd

Он был указан как «ОК».

— Джей Марм
источник

0

Вы можете попробовать загрузить их на сайты для тестирования, например, virustotal, и я считаю, что BitDefender имеет программу сканирования руткитов в течение одной минуты (не уверен в поддержке нескольких ОС).

Если у вас есть руткит, нет способа узнать, является ли он ложным срабатыванием, без надежной документации, как было опубликовано выше, учитывая, что вредоносная программа с рут-доступом может спрятаться. Вы, кажется, обеспокоены или просто соблюдаете синтаксис CAPS LOCKS, но в будущем я бы порекомендовал создавать хранилища и создавать резервные копии важных файлов (либо через облако, либо через внешние файлы, которые вы должны позаботиться, чтобы избежать перекрестного заражения), таких как базы данных. , семейные фотографии, работа, сомнительные видео и т. д.

проверьте сумму md5 на несоответствия для важного барахла. В основном это все, что может быть предоставлено пользователю root или самому дистрибутиву. И если вы запускаете новую установку или не против ее установки, вы всегда можете стереть и проверить ее еще раз.

Быстрое редактирование: BitDefender фактически не поддерживает ничего, кроме Windows. Sidenote, все антивирусные программы наносят ущерб вам и вашему использованию интернета. С открытым исходным кодом

tl; dr о коварной природе руткитов и о том, как легко они распространяются.

— avisitoritseems
источник