chkrootkit pokazuje „tcpd” jako Zainfekowany. Czy to fałszywy pozytyw?

25

Skanowanie przez chkrootkit pokazuje „tcpd” jako ZAKAŻONY. Chociaż skanowanie przez rkhunter pokazuje ok, (z wyjątkiem zwykłych fałszywych alarmów)

Czy mam się martwić? (Jestem na Ubuntu 16.10 z wersją 4.8.0-37-generic)

marynarz
źródło
Muru, dzięki! Pomogło! ps Jak głosować na reputację użytkownika? (ty w tym przypadku)
mariner
To był tylko komentarz. Zaraz opublikuję odpowiedź, którą możesz zaakceptować, jeśli chcesz.
muru
Czy skanowanie bezpośrednie sudo chkrootkit tcpdpowraca infected?
naXa 17.07.17
1
Mój pojawił się również jako ZAKAŻONY i nie jest zainstalowany.
Jason

Odpowiedzi:

36

W tym wpisie na forum Ubuntu użytkownik kpatz przetestował to na nowej maszynie wirtualnej 16.10, a chkrootkit nadal narzekał, co czyni to fałszywie pozytywnym. Zawsze możesz sprawdzić, czy plik został zmodyfikowany, porównując sumę md5 z pakietu:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Oczywiście sam plik md5sums może być sfałszowany (i tak md5sumsamo może i tak dalej ...).

muru
źródło
1
Muru, dziękuję za tak szybką odpowiedź! To było naprawdę pomocne. (niestety system nie pozwala mi głosować na twoją reputację. Mówi, że nie wolno mi na to: (((((
mariner
Podczas sprawdzania, czy coś jest złośliwe, czy nie i sprawdzania go w stosunku do znanej dobrej wersji MD5 są prawdopodobnie najgorszymi hashami do użycia z powodu kolizji.
2
W moim przypadku używanie Ubuntu 18.04 tcpd nie było nawet zainstalowane i zostało zgłoszone jako zainfekowane!
Philippe Delteil
0

Mój był również wymieniony jako „Zainfekowany” (Ubuntu 18.10) ... więc sprawdziłem krzyż tcpd za pomocą narzędzia debsums, tj .:

sudo debsums | grep tcpd

Został wymieniony jako „OK”.

Jay Marm
źródło
0

Możesz spróbować przesłać je na strony w celu przetestowania, na przykład virustotal, i uważam, że BitDefender ma dostępny minutowy program do skanowania rootkitów (niepewny obsługi wielu systemów operacyjnych).

Jeśli masz rootkita, nie ma sposobu, aby dowiedzieć się, czy jest to fałszywy alarm bez solidnej dokumentacji, jak zostało to zamieszczone powyżej, biorąc pod uwagę, że złośliwy program z dostępem do roota może się ukryć. Wygląda na to, że jesteś zaniepokojony lub po prostu postępujesz zgodnie ze składnią CAPS LOCKS, ale w przyszłości zalecałbym przechowywanie i tworzenie kopii zapasowych niezbędnych plików (za pośrednictwem chmury lub urządzenia zewnętrznego, które musisz uważać, aby nie zainfekować), takich jak bazy danych , zdjęcia rodzinne, praca, niesmaczne filmy itp.

sprawdź sumę md5 pod kątem niespójności dla ważnych śmieci. Jest to w większości wszystko, co można uzyskać dostęp do roota lub samej dystrybucji. A jeśli korzystasz z nowej instalacji lub nie masz nic przeciwko temu, zawsze możesz ją wyczyścić i sprawdzić jeszcze raz.

Szybka edycja: BitDefender w rzeczywistości nie oferuje wsparcia dla niczego innego niż Windows. Sidenote, wszystkie programy antywirusowe analizują dane użytkownika i korzystanie z Internetu. Otwarte źródło ftw.

tl; dr o podstępnej naturze rootkitów i tym, jak łatwo się rozprzestrzeniają.

avisitoritseems
źródło