Yanıtlar:
Bu yanlış bir pozitif olabilir, çünkü chkrootkit'te bir hata var (sözde 0.50-3ubuntu1 sürümünde düzeltildi). Görünüşe göre chkrootkit yeterince sıkı bir kontrol yapmaz.
Bkz .: https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566
Ek olarak, chkrootkit'e benzer bir rkhunter deneyebilirsiniz.
Bazı daha fazla bilgi: Neyse ki, hangi chkrootkit ` çalışan dosya bize chkrootkit'in sadece bir kabuk betiği olduğunu gösteriyor, böylece doğrudan inceleyebiliriz.
Searching for Suckit in the file /usr/sbin/chkrootkit we find:
### Suckit
if [ -f ${ROOTDIR}sbin/init ]; then
if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME || \
cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
then
echo "Warning: ${ROOTDIR}sbin/init INFECTED"
else
if [ -d ${ROOTDIR}/dev/.golf ]; then
echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
else
if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
fi
fi
fi
Anahtar satır:
cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."
Ubuntu'nun son sürümlerinden beri, bu komutu çalıştırmak bazı çıktılar üretir (root veya sudo olarak çalıştırmanız gerekir):
# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571 /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571 /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571 /sbin/init (deleted)
Ancak, bu bir rootkit kaynaklı bir enfeksiyon değildir. Ayrıca rkhunter koduna da baktım ve çekler çok daha zorlu (rootkit tarafından yüklenen her türlü ek dosyayı test ediyor).
/ Proc / 1 / maps kontrolünü gerçekleştirmemek için chkrootkit dosyasındaki 1003.1004 satırlarını değiştirdim (önce bir kopya almayı unutma)
if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME ) \
>/dev/null 2>&1
Kubuntu'da 13.04, 2013-07-31
Koşu:
cat /sbin/init | egrep HOME
üretir:
Binary file (standard input) matches
VE
Koşu:
cat /proc/1/maps | egrep "init."
NO çıkışı üretir.
Not: Sürenin kaldırılması çıktı üretir ("init" in "init" olarak değiştirilmesi)
b7768000-b779f000 r-xp 00000000 08:02 399192 /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192 /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192 /sbin/init
Öyleyse bana öyle geliyor ki HOME'u kontrol eden kısım sorun.
Eğer biri rkhunter’ın geçerli bir kontrolü olduğunu varsayarsa, belki de kolay yol bu bölümü chkrootkit’ten çıkarmak ve hem rkhunter hem de chkrootkit’i çalıştırmaktır.
strings /sbin/init | grep HOME
denersem XDG_CACHE_HOME and XDG_CONFIG_HOME
, bu hala yanlış bir pozitif mi? / Sbin / init içindeki "HOME" dizesini aramanın amacı nedir? Bu neden olumlu olmalı?