刚刚在最近安装的 14.04 lubuntu 上运行了 chkrootkit,结果显示:
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/lib/modules/3.16.0-30-generic/vdso/.build-id /lib/modules/3.16.0-31-generic/vdso/.build-id
/lib/modules/3.16.0-30-generic/vdso/.build-id /lib/modules/3.16.0-31-generic/vdso/.build-id
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 1204 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
如您所见,有一些异常;那些可疑的文件和目录是什么?/sbin/init 中的 sickit?chkutmp?我在另一台机器上没有得到这样的结果……所以我也尝试了 rkhunter,我想发布整个日志文件,但它的字符太多了,而且发布限制为 30000
[12:14:00] /usr/bin/unhide.rb [ Warning ]
[12:14:00] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
[12:15:19] System checks summary
[12:15:19] =====================
[12:15:19]
[12:15:19] File properties checks...
[12:15:19] Files checked: 134
[12:15:19] Suspect files: 1
[12:15:19]
[12:15:19] Rootkit checks...
[12:15:19] Rootkits checked : 291
[12:15:19] Possible rootkits: 0
[12:15:19]
[12:15:19] Applications checks...
[12:15:19] All checks skipped
[12:15:19]
[12:15:19] The system checks took: 1 minute and 38 seconds
[12:15:19]
[12:15:19] Info: End date is Mon Mar 16 12:15:19 GMT 2015
rkhunter 似乎没有表明 suckit,那么这是 chkrootkit 的误报吗?还是 rkhunter 的误报?其他警告呢,有人能告诉我它们是什么意思吗?我在 Google 上搜索了几个异常结果,但什么也没找到……这通常是一个不好的迹象。
那么,我是否有 rootkit,如果有,我该如何删除它并修复造成的损害?
答案1
chkrootkit
没有对带有“Suckit rootkit”的附加文件进行全面检查,因此如果rkhunter
没有检测到相关机器上是否存在 Suckit rootkit,这几乎肯定是误报,因为rkhunter
会对这些附加文件进行额外检查,这些文件将在系统感染 Suckit rootkit 时出现在系统中。
阅读此内容以获取有关检测 Suckit Rootkit 在系统中的存在的更多信息chkrootkit
,而实际上它并不存在于系统中:https://askubuntu.com/a/25179/364819