Chkrootkit "tcpd" को दर्शाता है। क्या यह गलत सकारात्मक है?

25

Chkrootkit द्वारा स्कैन "tcpd" से पता चलता है। हालांकि rkhunter द्वारा एक स्कैन ठीक दिखाता है, (नियमित झूठी सकारात्मक को छोड़कर)

क्या मुझे चिंता होगी? (मैं उबंटू 16.10 पर 4.8.0-37-जेनेरिक के साथ)

security  malware  rootkit  tcpdump  chkrootkit 
नाविक
स्रोत
2
muru
muru, धन्यवाद! यह मदद करता है! ps मैं किसी उपयोगकर्ता की प्रतिष्ठा के लिए मतदान कैसे करूं? (आप इस मामले में)
नाविक
यह सिर्फ एक टिप्पणी थी। मैं एक क्षण में एक उत्तर पोस्ट करूँगा, जिसे आप स्वीकार कर सकते हैं, यदि आप चाहें।
मुरु
क्या डायरेक्ट स्कैन sudo chkrootkit tcpdरिटर्न देता है infected?
naXa
1
मेरा भी इंफेक्टेड के रूप में आया और यह स्थापित नहीं है।
जेसन

जवाबों:

36

में इस उबंटू मंच पोस्ट , उपयोगकर्ता kpatz एक ताजा 16.10 वी एम में इस परीक्षण किया है और अभी भी chkrootkit शिकायत की, यह एक झूठी सकारात्मक बना रही है। आप हमेशा देख सकते हैं कि पैकेज से md5sum की तुलना करके फाइल में छेड़छाड़ की गई है या नहीं:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

बेशक, md5sums खुद को शायद छेड़छाड़ करते हैं, (और इतना md5sumही नहीं तो ...)।

muru
स्रोत
1
Muru, इस तरह के एक त्वरित प्रतिक्रिया के लिए धन्यवाद! यह वास्तव में मददगार था। (दुर्भाग्य प्रणाली मुझे अपनी प्रतिष्ठा के लिए वोट नहीं दूँगा इसे कहते हैं मैं अभी तक कि करने के लिए करने की अनुमति नहीं कर रहा हूँ:। (((((
नाविक
जब जाँच की जाती है कि कुछ दुर्भावनापूर्ण है या नहीं और एक अच्छे संस्करण के खिलाफ जाँच कर रहा है तो MD5s संभवतः टक्कर के कारण उपयोग करने के लिए सबसे खराब हैशटैम्स हैं।
2
मेरे मामले में, Ubuntu 18.04 tcpd का उपयोग करना भी स्थापित नहीं किया गया था और इसे संक्रमित बताया गया था!
फिलिप डेल्टाइल
7

यह मुख्य शकरोटोकिट स्क्रिप्ट में बग के कारण एक गलत सकारात्मक है। मैंने यहां फिक्स पोस्ट करने की कोशिश की, लेकिन इसे डाउनवोट कर दिया गया। मैंने इस समस्या की रिपोर्ट चकरोटकिट देवों को दी थी, लेकिन अगर आप इस मुद्दे को ठीक करना चाहते हैं ताकि यह वास्तव में काम करे, तो आप जांचना चाहेंगे: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521,683 / page2.html # post5788733

0

माइन को "INFECTED" (उबंटू 18.10) के रूप में भी सूचीबद्ध किया गया था ... इसलिए मैंने डिस्बस यूटिलिटी का उपयोग करके चेक किए गए tcpd को पार किया है:

sudo debsums | grep tcpd

इसे "ओके" के रूप में सूचीबद्ध किया गया था।

जय मर्म
स्रोत
0

आप उन्हें वायरस्टोटल जैसे परीक्षण के लिए साइटों पर अपलोड करने का प्रयास कर सकते हैं और मेरा मानना ​​है कि बिटडिफेंडर में एक मिनट का रूटकिट स्कैनर प्रोग्राम उपलब्ध है (मल्टी ओएस सपोर्ट का अनिश्चित)।

यदि आपके पास रूटकिट है, तो यह जानने का कोई तरीका नहीं है कि क्या यह ठोस दस्तावेज के बिना एक झूठी सकारात्मक है जैसा कि ऊपर पोस्ट किया गया था, यह देखते हुए कि रूट एक्सेस वाला एक दुर्भावनापूर्ण प्रोग्राम खुद को छिपा सकता है। आप चिंतित लग रहे हैं, या केवल CAPS LOCKS के सिंटैक्स का अनुसरण कर रहे हैं, लेकिन भविष्य में मैं आवश्यक फ़ाइलों के लिए वॉल्टिंग और बैकअप लेने की सलाह दूंगा (या तो एक क्लाउड या एक बाहरी माध्यम से जिसे आपको ध्यान रखना चाहिए कि आप संक्रमित न हों) , परिवार की तस्वीरें, काम, वीडियो, आदि।

महत्वपूर्ण कबाड़ के लिए विसंगतियों के लिए md5 राशि की जाँच करें। जो ज्यादातर कुछ भी है जिसे रूट एक्सेस या डिस्ट्रो खुद दिया जा सकता है। और यदि आप एक ताजा स्थापित कर रहे हैं या एक करने में कोई आपत्ति नहीं है, तो आप हमेशा इसे मिटा सकते हैं और इसे एक बार फिर से देख सकते हैं।

त्वरित संपादन: BitDefender वास्तव में Windows के अलावा किसी अन्य चीज़ के लिए समर्थन प्रदान नहीं करता है। सिडेनोट, सभी एंटीवायरस प्रोग्राम आपके और आपके इंटरनेट उपयोग को डीटैमाइन कर रहे हैं। ओपन सोर्स ftw।

tl; rootkits के कपटी स्वभाव पर dr। और कितनी आसानी से वे प्रचार करते हैं।

avisitoritseems
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.