Chkrootkit द्वारा स्कैन "tcpd" से पता चलता है। हालांकि rkhunter द्वारा एक स्कैन ठीक दिखाता है, (नियमित झूठी सकारात्मक को छोड़कर)
क्या मुझे चिंता होगी? (मैं उबंटू 16.10 पर 4.8.0-37-जेनेरिक के साथ)
sudo chkrootkit tcpd
रिटर्न देता है infected
?
Chkrootkit द्वारा स्कैन "tcpd" से पता चलता है। हालांकि rkhunter द्वारा एक स्कैन ठीक दिखाता है, (नियमित झूठी सकारात्मक को छोड़कर)
क्या मुझे चिंता होगी? (मैं उबंटू 16.10 पर 4.8.0-37-जेनेरिक के साथ)
sudo chkrootkit tcpd
रिटर्न देता है infected
?
जवाबों:
में इस उबंटू मंच पोस्ट , उपयोगकर्ता kpatz एक ताजा 16.10 वी एम में इस परीक्षण किया है और अभी भी chkrootkit शिकायत की, यह एक झूठी सकारात्मक बना रही है। आप हमेशा देख सकते हैं कि पैकेज से md5sum की तुलना करके फाइल में छेड़छाड़ की गई है या नहीं:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
बेशक, md5sums खुद को शायद छेड़छाड़ करते हैं, (और इतना md5sum
ही नहीं तो ...)।
यह मुख्य शकरोटोकिट स्क्रिप्ट में बग के कारण एक गलत सकारात्मक है। मैंने यहां फिक्स पोस्ट करने की कोशिश की, लेकिन इसे डाउनवोट कर दिया गया। मैंने इस समस्या की रिपोर्ट चकरोटकिट देवों को दी थी, लेकिन अगर आप इस मुद्दे को ठीक करना चाहते हैं ताकि यह वास्तव में काम करे, तो आप जांचना चाहेंगे: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521,683 / page2.html # post5788733
आप उन्हें वायरस्टोटल जैसे परीक्षण के लिए साइटों पर अपलोड करने का प्रयास कर सकते हैं और मेरा मानना है कि बिटडिफेंडर में एक मिनट का रूटकिट स्कैनर प्रोग्राम उपलब्ध है (मल्टी ओएस सपोर्ट का अनिश्चित)।
यदि आपके पास रूटकिट है, तो यह जानने का कोई तरीका नहीं है कि क्या यह ठोस दस्तावेज के बिना एक झूठी सकारात्मक है जैसा कि ऊपर पोस्ट किया गया था, यह देखते हुए कि रूट एक्सेस वाला एक दुर्भावनापूर्ण प्रोग्राम खुद को छिपा सकता है। आप चिंतित लग रहे हैं, या केवल CAPS LOCKS के सिंटैक्स का अनुसरण कर रहे हैं, लेकिन भविष्य में मैं आवश्यक फ़ाइलों के लिए वॉल्टिंग और बैकअप लेने की सलाह दूंगा (या तो एक क्लाउड या एक बाहरी माध्यम से जिसे आपको ध्यान रखना चाहिए कि आप संक्रमित न हों) , परिवार की तस्वीरें, काम, वीडियो, आदि।
महत्वपूर्ण कबाड़ के लिए विसंगतियों के लिए md5 राशि की जाँच करें। जो ज्यादातर कुछ भी है जिसे रूट एक्सेस या डिस्ट्रो खुद दिया जा सकता है। और यदि आप एक ताजा स्थापित कर रहे हैं या एक करने में कोई आपत्ति नहीं है, तो आप हमेशा इसे मिटा सकते हैं और इसे एक बार फिर से देख सकते हैं।
त्वरित संपादन: BitDefender वास्तव में Windows के अलावा किसी अन्य चीज़ के लिए समर्थन प्रदान नहीं करता है। सिडेनोट, सभी एंटीवायरस प्रोग्राम आपके और आपके इंटरनेट उपयोग को डीटैमाइन कर रहे हैं। ओपन सोर्स ftw।
tl; rootkits के कपटी स्वभाव पर dr। और कितनी आसानी से वे प्रचार करते हैं।