Muru, dzięki! Pomogło! ps Jak głosować na reputację użytkownika? (ty w tym przypadku)
mariner
To był tylko komentarz. Zaraz opublikuję odpowiedź, którą możesz zaakceptować, jeśli chcesz.
muru
Czy skanowanie bezpośrednie sudo chkrootkit tcpdpowraca infected?
naXa 17.07.17
1
Mój pojawił się również jako ZAKAŻONY i nie jest zainstalowany.
Jason
Odpowiedzi:
36
W tym wpisie na forum Ubuntu użytkownik kpatz przetestował to na nowej maszynie wirtualnej 16.10, a chkrootkit nadal narzekał, co czyni to fałszywie pozytywnym. Zawsze możesz sprawdzić, czy plik został zmodyfikowany, porównując sumę md5 z pakietu:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
Oczywiście sam plik md5sums może być sfałszowany (i tak md5sumsamo może i tak dalej ...).
Muru, dziękuję za tak szybką odpowiedź! To było naprawdę pomocne. (niestety system nie pozwala mi głosować na twoją reputację. Mówi, że nie wolno mi na to: (((((
mariner
Podczas sprawdzania, czy coś jest złośliwe, czy nie i sprawdzania go w stosunku do znanej dobrej wersji MD5 są prawdopodobnie najgorszymi hashami do użycia z powodu kolizji.
2
W moim przypadku używanie Ubuntu 18.04 tcpd nie było nawet zainstalowane i zostało zgłoszone jako zainfekowane!
Możesz spróbować przesłać je na strony w celu przetestowania, na przykład virustotal, i uważam, że BitDefender ma dostępny minutowy program do skanowania rootkitów (niepewny obsługi wielu systemów operacyjnych).
Jeśli masz rootkita, nie ma sposobu, aby dowiedzieć się, czy jest to fałszywy alarm bez solidnej dokumentacji, jak zostało to zamieszczone powyżej, biorąc pod uwagę, że złośliwy program z dostępem do roota może się ukryć. Wygląda na to, że jesteś zaniepokojony lub po prostu postępujesz zgodnie ze składnią CAPS LOCKS, ale w przyszłości zalecałbym przechowywanie i tworzenie kopii zapasowych niezbędnych plików (za pośrednictwem chmury lub urządzenia zewnętrznego, które musisz uważać, aby nie zainfekować), takich jak bazy danych , zdjęcia rodzinne, praca, niesmaczne filmy itp.
sprawdź sumę md5 pod kątem niespójności dla ważnych śmieci. Jest to w większości wszystko, co można uzyskać dostęp do roota lub samej dystrybucji. A jeśli korzystasz z nowej instalacji lub nie masz nic przeciwko temu, zawsze możesz ją wyczyścić i sprawdzić jeszcze raz.
Szybka edycja:
BitDefender w rzeczywistości nie oferuje wsparcia dla niczego innego niż Windows. Sidenote, wszystkie programy antywirusowe analizują dane użytkownika i korzystanie z Internetu. Otwarte źródło ftw.
sudo chkrootkit tcpd
powracainfected
?Odpowiedzi:
W tym wpisie na forum Ubuntu użytkownik kpatz przetestował to na nowej maszynie wirtualnej 16.10, a chkrootkit nadal narzekał, co czyni to fałszywie pozytywnym. Zawsze możesz sprawdzić, czy plik został zmodyfikowany, porównując sumę md5 z pakietu:
Oczywiście sam plik md5sums może być sfałszowany (i tak
md5sum
samo może i tak dalej ...).źródło
Jest to fałszywy alarm spowodowany błędem w głównym skrypcie chkrootkit. Próbowałem opublikować poprawkę tutaj, ale zostałem przegłosowany. Zgłosiłem problem do deweloperów chkrootkit, ale jeśli chcesz naprawić problem, aby rzeczywiście działał, możesz spróbować: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733
źródło
Mój był również wymieniony jako „Zainfekowany” (Ubuntu 18.10) ... więc sprawdziłem krzyż tcpd za pomocą narzędzia debsums, tj .:
Został wymieniony jako „OK”.
źródło
Możesz spróbować przesłać je na strony w celu przetestowania, na przykład virustotal, i uważam, że BitDefender ma dostępny minutowy program do skanowania rootkitów (niepewny obsługi wielu systemów operacyjnych).
Jeśli masz rootkita, nie ma sposobu, aby dowiedzieć się, czy jest to fałszywy alarm bez solidnej dokumentacji, jak zostało to zamieszczone powyżej, biorąc pod uwagę, że złośliwy program z dostępem do roota może się ukryć. Wygląda na to, że jesteś zaniepokojony lub po prostu postępujesz zgodnie ze składnią CAPS LOCKS, ale w przyszłości zalecałbym przechowywanie i tworzenie kopii zapasowych niezbędnych plików (za pośrednictwem chmury lub urządzenia zewnętrznego, które musisz uważać, aby nie zainfekować), takich jak bazy danych , zdjęcia rodzinne, praca, niesmaczne filmy itp.
sprawdź sumę md5 pod kątem niespójności dla ważnych śmieci. Jest to w większości wszystko, co można uzyskać dostęp do roota lub samej dystrybucji. A jeśli korzystasz z nowej instalacji lub nie masz nic przeciwko temu, zawsze możesz ją wyczyścić i sprawdzić jeszcze raz.
Szybka edycja: BitDefender w rzeczywistości nie oferuje wsparcia dla niczego innego niż Windows. Sidenote, wszystkie programy antywirusowe analizują dane użytkownika i korzystanie z Internetu. Otwarte źródło ftw.
tl; dr o podstępnej naturze rootkitów i tym, jak łatwo się rozprzestrzeniają.
źródło