chkrootkitは「tcpd」を感染として表示します。誤検知ですか?


25

chkrootkitによるスキャンでは、「tcpd」が感染していると表示されます。rkhunterによるスキャンは問題ありませんが、(通常の誤検知を除く)

心配しませんか?(Ubuntu 16.10で4.8.0-37-genericを使用しています)



むー、ありがとう!助けた!psユーザーの評判に投票するにはどうすればよいですか?(この場合あなた)
マリナー

それは単なるコメントでした。回答をすぐに投稿します。必要に応じて受け入れてください。
ムル

ダイレクトスキャンsudo chkrootkit tcpdは戻りますinfectedか?
naXa

1
私もINFECTEDとして登場しましたが、インストールされていません。
ジェイソン

回答:


36

では、このUbuntuのフォーラムのポスト、ユーザーkpatzは新鮮16.10 VMでこれをテストし、chkrootkitのはまだこのに偽陽性を作り、訴えました。パッケージのmd5sumを比較することにより、ファイルが改ざんされているかどうかをいつでも確認できます。

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

もちろん、md5sumsファイル自体は改ざんされている可能性がありmd5sumます(そして、それ自体が改ざんされる可能性があります...)。


1
ムル、このような迅速な対応に感謝します!本当に役に立ちました。(残念ながら、システムはあなたの評判に投票させません。それはまだ許可されていないと言います:(((((
mariner

何かが悪意があるかどうかをチェックし、既知の正常なバージョンに対してチェックする場合、MD5は衝突のためにおそらく最悪のハッシュサムです。

2
私の場合、Ubuntu 18.04 tcpdを使用してもインストールされず、感染していると報告されました!
フィリップデルテイユ

7

これは、メインのchkrootkitスクリプトのバグが原因の誤検知です。ここに修正を投稿しようとしましたが、ダウン投票されました。chkrootkit開発者に問題を報告しましたが、実際に機能するように問題を修正したい場合は、https://www.linuxquestions.org/questions/linux-security-4/をチェックしてください。 chkrootkit-tcpd-521683 / page2.html#post5788733


0

私も「INFECTED」(Ubuntu 18.10)としてリストされていたので、debsumsユーティリティを使用してtcpdをクロスチェックしました。

sudo debsums | grep tcpd

「OK」としてリストされました。


0

virustotalのようなテスト用にサイトにアップロードしてみてください。BitDefenderには1分間のルートキットスキャナープログラムがあります(マルチOSのサポートは不明です)。

ルートキットを持っている場合、ルートアクセス権を持つ悪意のあるプログラムが自分自身を隠すことができることを考えると、上記のように堅実なドキュメントなしで誤検知であるかどうかを知る方法はありません。あなたは心配しているようです、または単にCAPS LOCKSの構文に従っていますが、将来的にはデータベースなどの重要なファイル(クラウドまたは外部感染しないように注意する必要がある外部のいずれかを介して)のボールトおよびバックアップをお勧めします、家族の写真、仕事、不快な動画など。

重要なジャンクの不整合については、md5の合計を確認してください。これは、ほとんどがルートアクセス権またはディストリビューション自体に付与できるものです。また、新規インストールを実行している場合、または実行してもかまわない場合は、いつでもワイプして確認できます。

クイック編集: BitDefenderは、実際にはWindows以外のサポートを提供していません。サイドノート、すべてのウイルス対策プログラムはあなたとあなたのインターネット利用をデータマイニングしています。オープンソースftw。

ルートキットの陰湿な性質とそれらの伝播の容易さに関するtl; dr

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.