当我这样做时,rkhunter --check它表明我可能有 rootkit:
/usr/bin/rkhunter:14795:[:/usr/lib/firefox/firefox:意外的操作员
/usr/bin/rkhunter:14795:[:/usr/lib/firefox/firefox:意外的操作员
/usr/bin/rkhunter:14795:[:/usr/bin/konsole:意外操作员
检查可疑(大型)共享内存段 [警告]
/var/log/rkhunter.log给我看看这个:
警告:发现以下可疑(大型)共享内存段: [21:17:06] 进程:/usr/lib/firefox/firefox (已删除) PID:9750 所有者:louie 大小:4,0MB (允许的配置大小:1,0MB) [21:17:07] 进程:/usr/lib/firefox/firefox (已删除) PID:9750 所有者:louie 大小:4,0MB (允许的配置大小:1,0MB) [21:17:07] 进程:/usr/bin/konsole (已删除) PID:11415 所有者:louie 大小:1,7MB (允许配置大小:1,0MB)
替代方案chkrootkit仅向我显示了感染:“tcpd”,我在多个地方都读到过这是一个误报。
也会rkhunter显示假阳性吗?
答案1
当然,第一次运行时rkhunter会显示很多误报,而 Firefox 是其中一种常见的错误。可以/etc/rkhunter.conf通过取消注释已显示的示例来忽略它
ALLOWIPCPROC=/usr/bin/firefox
周围还有一些其他已知的误报,但我找不到任何解释如何找出已知进程是否使用大量内存。
我希望很快能在这里得到答案:https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments