chkrootkit, “tcpd” yi INFECTED olarak gösteriyor. Yanlış bir pozitif mi?

25

Chkrootkit tarafından tarama "tcpd" yi ENFEKTİF olarak gösteriyor. Her ne kadar rkhunter tarafından yapılan bir tarama tamam gibi görünse de (düzenli yanlış pozitifler hariç)

Endişeleneyim mi? (4.8.0-37-generic ile Ubuntu 16.10’dayım)

— denizci
kaynak

2

ubuntuforums.org/showthread.php?t=2346505

— muru

çamur, teşekkürler! Yardım etti! ps Bir kullanıcının itibarını nasıl oylayabilirim? (bu durumda)

— mariner

Bu sadece bir yorumdu. İsterseniz, kabul edebileceğiniz bir anda bir cevap göndereceğim.

— muru

Doğrudan tarama sudo chkrootkit tcpdgeri dönüyor infectedmu?

— naXa

1

Mine de INFECTED olarak geldi ve kurulmadı.

— Jason,

36

Gelen bu Ubuntu Forum yazı , kullanıcı kpatz taze 16.10 VM bu test edilmiş ve chkrootkit hala bu bir yanlış pozitif hale şikayet etti. Bir dosyanın değiştirilip değiştirilmediğini her zaman kontrol edebilirsiniz:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Tabii ki, md5sums dosya kendini kurcalamadı, belki de kendini değiştirmiş olabilir ( md5sum).

— muru
kaynak

1

Muru, bu kadar çabuk cevap verdiğin için teşekkürler! Gerçekten çok yardımcı oldu. (Maalesef sistem ünün için oy kullanmama izin vermiyor. Buna henüz yetkim yok diyor: ((((

— mariner

Bir şeyin kötü niyetli olup olmadığını kontrol ederken ve bilinen iyi bir versiyona karşı kontrol ederken, MD5'ler çarpışmalar nedeniyle kullanılabilecek en kötü karmaşadır.

2

Benim durumumda, Ubuntu 18.04 tcpd kullanmak bile kurulmadı ve virüslü olduğu bildirildi!

— Philippe Delteil

7

Bu, ana chkrootkit komut dosyasındaki bir hatanın neden olduğu sahte bir pozitif. Düzeltmeyi buraya postalamaya çalıştım, ancak reddedildi. Sorunu chkrootkit devs’e bildirdim, ancak sorunu gerçekten çalışacak şekilde düzeltmek istiyorsanız, kontrol etmek isteyebilirsiniz: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733

0

Mine aynı zamanda "INFECTED" (Ubuntu 18.10) olarak da listelenmişti.

sudo debsums | grep tcpd

"Tamam" olarak listelenmiştir.

— Jay Marm
kaynak

0

Bunları virustotal gibi testler için sitelere yüklemeyi deneyebilirsiniz ve BitDefender'ın bir dakikalık rootkit tarayıcı programı olduğunu düşünüyorum (çoklu işletim sistemi desteğinden emin değilim).

Rootkit'iniz varsa, yukarıda açıklandığı gibi sağlam bir dokümantasyon olmadan yanlış bir pozitif olup olmadığını bilmek mümkün değildir, root erişimi olan kötü niyetli bir programın kendisini gizleyebileceğini düşünün. Endişeli görünüyorsunuz ya da sadece CAPS LOCKS'un sözdizimini izliyorsunuz, ancak gelecekte veritabanları gibi temel dosyaları (bir bulut aracılığıyla ya da virüs bulaştırmamaya dikkat etmeniz gereken bir harici) kullanarak tonoz etmenizi ve yedeklemenizi öneririm. , aile fotoğrafları, iş, lezzetsiz videolar vb.

Önemli önemsiz durumlar için md5 toplamını tutarsızlıklar açısından kontrol edin. Çoğunlukla kök erişimi veya dağıtımın kendisi verilebilecek olan herhangi bir şeydir. Ve yeni bir yükleme yapıyorsanız veya bir tane yapmayı umursamıyorsanız, her zaman bir kez daha silip kontrol edebilirsiniz.

Hızlı düzenleme: BitDefender aslında Windows dışındaki hiçbir şey için destek sunmuyor. Sidenote, tüm virüsten koruma programları sizi ve internet kullanımınızı etkiliyor. Açık kaynak ftw.

rootkits'in sinsi doğası ve ne kadar kolay yayıldıkları konusunda Dr.

— avisitoritseems
kaynak