it-swarm.com.de

chkrootkit zeigt "tcpd" als INFECTED an. Ist es falsch positiv?

Scan by chkrootkit zeigt "tcpd" als INFIZIERT an. Obwohl ein Scan von rkhunter ok ist (außer bei normalen False Positives)

Soll ich mir Sorgen machen? (Ich bin auf Ubuntu 16.10 mit 4.8.0-37-generic)

25
mariner

In dieser Ubuntu-Forumsbeitrag testete Benutzer kpatz dies in einem neuen 16.10 VM und chkrootkit beschwerte sich immer noch, was dies zu einem falsch positiven Ergebnis machte. Sie können jederzeit überprüfen, ob eine Datei manipuliert wurde, indem Sie die md5sum aus dem Paket vergleichen:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Natürlich kann die md5sums-Datei selbst manipuliert sein (und könnte sich auch selbst md5sum und so weiter ...).

36
muru

Dies ist ein falsches positives Ergebnis, das durch einen Fehler im Haupt-chkrootkit-Skript verursacht wurde. Ich habe versucht, das Update hier zu veröffentlichen, wurde aber abgelehnt. Ich habe das Problem den chkrootkit-Entwicklern gemeldet, aber wenn Sie das Problem beheben möchten, damit es tatsächlich funktioniert, sollten Sie Folgendes überprüfen: https://www.linuxquestions.org/questions/linux- security-4/chkrootkit-tcpd-521683/page2.html # post57887

7
user760856

Meins wurde auch als "INFECTED" (Ubuntu 18.10) aufgeführt.

Sudo debsums | grep tcpd

Es wurde als "OK" aufgeführt.

0
Jay Marm

Sie können versuchen, sie auf Websites wie virustotal hochzuladen, um sie zu testen, und ich glaube, BitDefender verfügt über ein einminütiges Rootkit-Scannerprogramm (nicht sicher, ob es mehrere Betriebssysteme unterstützt).

Wenn Sie über ein Rootkit verfügen, können Sie nicht feststellen, ob es sich, wie oben beschrieben, um ein falsches Positiv ohne solide Dokumentation handelt, da sich ein Schadprogramm mit Root-Zugriff verstecken kann. Sie scheinen besorgt zu sein oder folgen nur der Syntax von CAPS LOCKS, aber in Zukunft würde ich empfehlen, wichtige Dateien (entweder über eine Cloud oder über ein externes System, das Sie nicht infizieren müssen) wie Datenbanken zu sichern , Familienfotos, Arbeit, unappetitliche Videos usw.

überprüfen Sie die MD5-Summe auf Inkonsistenzen für den wichtigen Müll. Welches ist meist alles, was Root-Zugriff oder die Distribution selbst gegeben werden kann. Und wenn Sie gerade eine Neuinstallation ausführen oder es Ihnen nichts ausmacht, können Sie diese jederzeit erneut abwischen und überprüfen.

Schnelle Bearbeitung: BitDefender bietet keine Unterstützung für etwas anderes als Windows. Nebenbei bemerkt, alle Antivirenprogramme erfassen Sie und Ihre Internetnutzung. Open Source ftw.

tl; dr über die heimtückische Natur von Rootkits und wie leicht sie sich verbreiten.

0
avisitoritseems