สแกนโดย chkrootkit แสดงให้เห็นว่า "tcpd" เป็น INFECTED แม้ว่าการสแกนโดย rkhunter จะแสดงว่า ok (ยกเว้นผลบวกผิดปกติ)
ฉันจะเป็นห่วงไหม? (ฉันใช้ Ubuntu 16.10 กับ 4.8.0-37-generic)
sudo chkrootkit tcpd
จะกลับมาinfected
?
สแกนโดย chkrootkit แสดงให้เห็นว่า "tcpd" เป็น INFECTED แม้ว่าการสแกนโดย rkhunter จะแสดงว่า ok (ยกเว้นผลบวกผิดปกติ)
ฉันจะเป็นห่วงไหม? (ฉันใช้ Ubuntu 16.10 กับ 4.8.0-37-generic)
sudo chkrootkit tcpd
จะกลับมาinfected
?
คำตอบ:
ในโพสต์ฟอรัมอูบุนตูผู้ใช้ kpatz ทดสอบสิ่งนี้ใน VM 16.10 ใหม่และ chkrootkit ยังคงบ่นทำให้สิ่งนี้เป็นผลบวกที่ผิด คุณสามารถตรวจสอบได้ว่าไฟล์ใดถูกแก้ไขโดยการเปรียบเทียบ md5sum จากแพ็คเกจ:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
แน่นอนไฟล์ md5sums นั้นอาจถูกดัดแปลง (และอาจเป็นmd5sum
เช่นนั้นเป็นต้น ... )
นี่เป็นผลบวกปลอมที่เกิดจากข้อบกพร่องในสคริปต์ chkrootkit หลัก ฉันพยายามโพสต์การแก้ไขที่นี่ แต่ถูกลดระดับลง ฉันรายงานปัญหาไปยัง chkrootkit devs แต่ถ้าคุณต้องการแก้ไขปัญหาเพื่อให้ใช้งานได้จริงคุณอาจต้องการตรวจสอบ: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733
ฉันก็ถูกระบุว่าเป็น "INFECTED" (Ubuntu 18.10) ... ดังนั้นฉันจึงตรวจสอบ tcpd โดยใช้ยูทิลิตี้ debsums เช่น:
sudo debsums | grep tcpd
มันถูกระบุว่าเป็น "ตกลง"
คุณสามารถลองอัปโหลดไปยังเว็บไซต์เพื่อทำการทดสอบเช่น virustotal และฉันเชื่อว่า BitDefender มีโปรแกรมสแกนเนอร์รูทคิตหนึ่งนาที (ไม่แน่ใจว่ารองรับระบบปฏิบัติการหลายระบบ)
หากคุณมีรูทคิทจะไม่มีทางรู้ได้ว่ามันเป็นผลบวกที่ผิดพลาดหากไม่มีเอกสารที่เป็นของแข็งดังที่โพสต์ไว้ด้านบนเนื่องจากโปรแกรมที่เป็นอันตรายซึ่งมีการเข้าถึงรูทสามารถซ่อนตัวเองได้ ดูเหมือนว่าคุณจะมีความกังวลหรือเพียงแค่ติดตามไวยากรณ์ของ CAPS LOCKS แต่ในอนาคตฉันขอแนะนำการกระโดดข้ามและสำรองไฟล์สำคัญ (ไม่ว่าจะผ่านระบบคลาวด์หรือภายนอกที่คุณต้องระวังไม่ให้ติดไวรัส) เช่นฐานข้อมูล ภาพถ่ายครอบครัวงานวิดีโอที่ไม่น่าสนใจ ฯลฯ
ตรวจสอบผลรวม md5 สำหรับความไม่สอดคล้องกันสำหรับขยะที่สำคัญ ซึ่งส่วนใหญ่เป็นสิ่งใดก็ตามที่สามารถให้สิทธิ์การเข้าถึงรูทหรือเครื่องดิสโตรนั้นเอง และหากคุณใช้งานการติดตั้งใหม่หรือไม่สนใจที่จะทำอย่างใดอย่างหนึ่งคุณสามารถเช็ดและตรวจสอบได้อีกครั้ง
การแก้ไขอย่างรวดเร็ว: BitDefenderไม่ได้ให้การสนับสนุนกับสิ่งอื่นนอกจาก Windows Sidenote โปรแกรมป้องกันไวรัสทั้งหมดกำลังรวบรวมข้อมูลของคุณและการใช้งานอินเทอร์เน็ตของคุณ โอเพ่นซอร์ส ftw
tl; dr ในลักษณะร้ายกาจของรูทคิทและวิธีการที่พวกเขาเผยแพร่ได้อย่างง่ายดาย