chkrootkitは「tcpd」を感染として表示します。誤検知ですか？

chkrootkitによるスキャンでは、「tcpd」が感染していると表示されます。rkhunterによるスキャンは問題ありませんが、（通常の誤検知を除く）

心配しませんか？（Ubuntu 16.10で4.8.0-37-genericを使用しています）

では、このUbuntuのフォーラムのポスト、ユーザーkpatzは新鮮16.10 VMでこれをテストし、chkrootkitのはまだこのに偽陽性を作り、訴えました。パッケージのmd5sumを比較することにより、ファイルが改ざんされているかどうかをいつでも確認できます。

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

もちろん、md5sumsファイル自体は改ざんされている可能性がありmd5sumます（そして、それ自体が改ざんされる可能性があります...）。

これは、メインのchkrootkitスクリプトのバグが原因の誤検知です。ここに修正を投稿しようとしましたが、ダウン投票されました。chkrootkit開発者に問題を報告しましたが、実際に機能するように問題を修正したい場合は、https：//www.linuxquestions.org/questions/linux-security-4/をチェックしてください。 chkrootkit-tcpd-521683 / page2.html＃post5788733

私も「INFECTED」（Ubuntu 18.10）としてリストされていたので、debsumsユーティリティを使用してtcpdをクロスチェックしました。

sudo debsums | grep tcpd

「OK」としてリストされました。

virustotalのようなテスト用にサイトにアップロードしてみてください。BitDefenderには1分間のルートキットスキャナープログラムがあります（マルチOSのサポートは不明です）。

ルートキットを持っている場合、ルートアクセス権を持つ悪意のあるプログラムが自分自身を隠すことができることを考えると、上記のように堅実なドキュメントなしで誤検知であるかどうかを知る方法はありません。あなたは心配しているようです、または単にCAPS LOCKSの構文に従っていますが、将来的にはデータベースなどの重要なファイル（クラウドまたは外部感染しないように注意する必要がある外部のいずれかを介して）のボールトおよびバックアップをお勧めします、家族の写真、仕事、不快な動画など。

重要なジャンクの不整合については、md5の合計を確認してください。これは、ほとんどがルートアクセス権またはディストリビューション自体に付与できるものです。また、新規インストールを実行している場合、または実行してもかまわない場合は、いつでもワイプして確認できます。

クイック編集： BitDefenderは、実際にはWindows以外のサポートを提供していません。サイドノート、すべてのウイルス対策プログラムはあなたとあなたのインターネット利用をデータマイニングしています。オープンソースftw。

ルートキットの陰湿な性質とそれらの伝播の容易さに関するtl; dr。