chkrootkit แสดง“ tcpd” เป็น INFECTED มันเป็นบวกที่ผิดพลาดหรือไม่?

25

สแกนโดย chkrootkit แสดงให้เห็นว่า "tcpd" เป็น INFECTED แม้ว่าการสแกนโดย rkhunter จะแสดงว่า ok (ยกเว้นผลบวกผิดปกติ)

ฉันจะเป็นห่วงไหม? (ฉันใช้ Ubuntu 16.10 กับ 4.8.0-37-generic)

security  malware  rootkit  tcpdump  chkrootkit 
นาวิน
แหล่งที่มา
2
muru
muru ขอบคุณ! มันช่วยได้! ps ฉันจะลงคะแนนเพื่อชื่อเสียงของผู้ใช้ได้อย่างไร (คุณในกรณีนี้)
นักเดินเรือ
นั่นเป็นเพียงความคิดเห็น ฉันจะโพสต์คำตอบในช่วงเวลาหนึ่งซึ่งคุณสามารถยอมรับได้หากคุณต้องการ
muru
สแกนโดยตรงsudo chkrootkit tcpdจะกลับมาinfected?
naXa
1
เหมืองขึ้นมาเป็น INFECTED ด้วยและมันก็ไม่ได้ติดตั้ง
เจสัน

คำตอบ:

36

ในโพสต์ฟอรัมอูบุนตูผู้ใช้ kpatz ทดสอบสิ่งนี้ใน VM 16.10 ใหม่และ chkrootkit ยังคงบ่นทำให้สิ่งนี้เป็นผลบวกที่ผิด คุณสามารถตรวจสอบได้ว่าไฟล์ใดถูกแก้ไขโดยการเปรียบเทียบ md5sum จากแพ็คเกจ:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

แน่นอนไฟล์ md5sums นั้นอาจถูกดัดแปลง (และอาจเป็นmd5sumเช่นนั้นเป็นต้น ... )

Muru
แหล่งที่มา
1
Muru ขอบคุณสำหรับการตอบกลับที่รวดเร็ว! มันมีประโยชน์จริงๆ (น่าเสียดายที่ระบบจะไม่ให้ฉันลงคะแนนให้กับชื่อเสียงของคุณมันบอกว่าฉันยังไม่ได้รับอนุญาตให้ทำสิ่งนั้น: (((((
นาวิน
เมื่อตรวจสอบว่ามีสิ่งใดที่เป็นอันตรายหรือไม่และการตรวจสอบกับรุ่นที่ดีที่รู้จัก MD5 อาจเป็นแฮชซัมที่แย่ที่สุดที่จะใช้เนื่องจากการชน
2
ในกรณีของฉันการติดตั้ง Ubuntu 18.04 tcpd ไม่ได้ติดตั้งและรายงานว่าติดเชื้อ!
Philippe Delteil
7

นี่เป็นผลบวกปลอมที่เกิดจากข้อบกพร่องในสคริปต์ chkrootkit หลัก ฉันพยายามโพสต์การแก้ไขที่นี่ แต่ถูกลดระดับลง ฉันรายงานปัญหาไปยัง chkrootkit devs แต่ถ้าคุณต้องการแก้ไขปัญหาเพื่อให้ใช้งานได้จริงคุณอาจต้องการตรวจสอบ: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733

0

ฉันก็ถูกระบุว่าเป็น "INFECTED" (Ubuntu 18.10) ... ดังนั้นฉันจึงตรวจสอบ tcpd โดยใช้ยูทิลิตี้ debsums เช่น:

sudo debsums | grep tcpd

มันถูกระบุว่าเป็น "ตกลง"

เจย์มาร์ก
แหล่งที่มา
0

คุณสามารถลองอัปโหลดไปยังเว็บไซต์เพื่อทำการทดสอบเช่น virustotal และฉันเชื่อว่า BitDefender มีโปรแกรมสแกนเนอร์รูทคิตหนึ่งนาที (ไม่แน่ใจว่ารองรับระบบปฏิบัติการหลายระบบ)

หากคุณมีรูทคิทจะไม่มีทางรู้ได้ว่ามันเป็นผลบวกที่ผิดพลาดหากไม่มีเอกสารที่เป็นของแข็งดังที่โพสต์ไว้ด้านบนเนื่องจากโปรแกรมที่เป็นอันตรายซึ่งมีการเข้าถึงรูทสามารถซ่อนตัวเองได้ ดูเหมือนว่าคุณจะมีความกังวลหรือเพียงแค่ติดตามไวยากรณ์ของ CAPS LOCKS แต่ในอนาคตฉันขอแนะนำการกระโดดข้ามและสำรองไฟล์สำคัญ (ไม่ว่าจะผ่านระบบคลาวด์หรือภายนอกที่คุณต้องระวังไม่ให้ติดไวรัส) เช่นฐานข้อมูล ภาพถ่ายครอบครัวงานวิดีโอที่ไม่น่าสนใจ ฯลฯ

ตรวจสอบผลรวม md5 สำหรับความไม่สอดคล้องกันสำหรับขยะที่สำคัญ ซึ่งส่วนใหญ่เป็นสิ่งใดก็ตามที่สามารถให้สิทธิ์การเข้าถึงรูทหรือเครื่องดิสโตรนั้นเอง และหากคุณใช้งานการติดตั้งใหม่หรือไม่สนใจที่จะทำอย่างใดอย่างหนึ่งคุณสามารถเช็ดและตรวจสอบได้อีกครั้ง

การแก้ไขอย่างรวดเร็ว: BitDefenderไม่ได้ให้การสนับสนุนกับสิ่งอื่นนอกจาก Windows Sidenote โปรแกรมป้องกันไวรัสทั้งหมดกำลังรวบรวมข้อมูลของคุณและการใช้งานอินเทอร์เน็ตของคุณ โอเพ่นซอร์ส ftw

tl; dr ในลักษณะร้ายกาจของรูทคิทและวิธีการที่พวกเขาเผยแพร่ได้อย่างง่ายดาย

avisitoritseems
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.