chkrootkit 给出的结果为 tty of process not found

chkrootkit 给出的结果为 tty of process not found

我在我的电脑上执行了 chkrootkit 并得到了这些结果这意味着什么

Checking `chkutmp'...                                        
The tty of the following user process(es) were not found in /var/run/utmp !
! RUID          PID TTY    CMD
! ger/Install/       0 MA-Uniformity-Trial-50-Percent/defger/Install/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --enable-delegated-renderer --enable-impl-side-painting --num-raster-threads=1 --disable-accelerated-video-decode --channel=3676.1.1965219338
! ger/Install/       0 MA-Uniformity-Trial-50-Percent/defger/Install/ --extension-process --enable-webrtc-hw-h264-encoding --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --enable-delegated-renderer --enable-impl-side-painting --num-raster-threads=1 --disable-accelerated-video-decode --channel=3676.2.206
! lt/VoiceTrigger/Install/       0 t/group_16/UMA-Uniformity-Trial-50lt/VoiceTrigger/Install/ --extension-process --enable-webrtc-hw-h264-encoding --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --enable-delegated-renderer --enable-impl-side-painting --num-raster-threads=1 --disable-accelerated-video-decode --channel=3676.3.434
! lt/VoiceTrigger/Install/       0 t/group_16/UMA-Uniformity-Trial-50lt/VoiceTrigger/Install/ --extension-process --enable-webrtc-hw-h264-encoding --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --enable-delegated-renderer --enable-impl-side-painting --num-raster-threads=1 --disable-accelerated-video-decode --channel=3676.4.146
! root         2298 tty7   /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted

我不知道这些发生了什么,有什么建议吗?

答案1

查看 utmp 的手册页,您将看到...

utmp 文件允许人们发现当前正在使用系统的用户信息。当前使用系统的用户可能更多,因为并非所有程序都使用 utmp 日志记录。

警告:utmp 不能是可写的,因为许多系统程序(愚蠢地)依赖于它的完整性。如果将 utmp 保留给任何用户可写,则存在伪造系统日志文件和修改系统文件的风险。

所以...

  • utmp应该有一个包含所有正在运行的用户进程的列表(二进制格式)
  • chkrootkit将系统中运行的所有用户进程与 中注册的进程进行比较/var/run/utmp,报告由 root 运行的一个进程未注册的事实。

这并不意味着它是一个 rootkit 或数据记录器。但也许

因此,您需要追踪此注册是否有效,因为可能会编写恶意软件以避免注册。

相关内容