chkrootkit / sbin / init virüsünün bulaştığını söylüyor, bunun anlamı nedir?

30

Son zamanlarda koştum chkrootkitve aşağıdaki satırı aldım:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

Bu tam olarak ne anlama geliyor? Bunun yanlış bir pozitif olduğunu, tam olarak ne olduğunu duydum.

Lütfen ve teşekkür ederim.

10.04 security rootkit

— myusuf3
kaynak

34

Bu yanlış bir pozitif olabilir, çünkü chkrootkit'te bir hata var (sözde 0.50-3ubuntu1 sürümünde düzeltildi). Görünüşe göre chkrootkit yeterince sıkı bir kontrol yapmaz.

Bkz .: https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Ek olarak, chkrootkit'e benzer bir rkhunter deneyebilirsiniz.

Bazı daha fazla bilgi: Neyse ki, hangi chkrootkit ` çalışan dosya bize chkrootkit'in sadece bir kabuk betiği olduğunu gösteriyor, böylece doğrudan inceleyebiliriz.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Anahtar satır:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Ubuntu'nun son sürümlerinden beri, bu komutu çalıştırmak bazı çıktılar üretir (root veya sudo olarak çalıştırmanız gerekir):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Ancak, bu bir rootkit kaynaklı bir enfeksiyon değildir. Ayrıca rkhunter koduna da baktım ve çekler çok daha zorlu (rootkit tarafından yüklenen her türlü ek dosyayı test ediyor).

/ Proc / 1 / maps kontrolünü gerçekleştirmemek için chkrootkit dosyasındaki 1003.1004 satırlarını değiştirdim (önce bir kopya almayı unutma)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

— Simon B
kaynak

4

Bu apt-get tarafından yüklenen V0.49 için geçerlidir. Görünüşe göre chkrootkit 0.50 ( doğrudan chkrootkit.org adresinden temin edilebilir ) bu yanlış pozitif düzeltildi.

— Quog

ubuntu'nuzla hangi sürümün geldiğini bilmek istiyorsanız şuraya bakın: Packages.ubuntu.com/search?keywords=chkrootkit

— Édouard Lopez

Bu sorun giderme sırasında ortaya çıktığım için, burada ek bilgi içeren başka bir tartışma olduğunu belirtmek istedim: askubuntu.com/questions/597432/…

— Cody Sharp

2

Kubuntu'da 13.04, 2013-07-31

Koşu:

cat /sbin/init | egrep HOME

üretir:

Binary file (standard input) matches

VE

Koşu:

cat /proc/1/maps | egrep "init."

NO çıkışı üretir.

Not: Sürenin kaldırılması çıktı üretir ("init" in "init" olarak değiştirilmesi)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Öyleyse bana öyle geliyor ki HOME'u kontrol eden kısım sorun.

Eğer biri rkhunter’ın geçerli bir kontrolü olduğunu varsayarsa, belki de kolay yol bu bölümü chkrootkit’ten çıkarmak ve hem rkhunter hem de chkrootkit’i çalıştırmaktır.

— user180342
kaynak

1

Ben de aynı Ubuntu 14.04 32 bit var. Eğer strings /sbin/init | grep HOMEdenersem XDG_CACHE_HOME and XDG_CONFIG_HOME, bu hala yanlış bir pozitif mi? / Sbin / init içindeki "HOME" dizesini aramanın amacı nedir? Bu neden olumlu olmalı?

— rubo77