如何处理假定的 chkrootkit 误报

如何处理假定的 chkrootkit 误报

apt-install我在新安装的 Ubuntu 服务器 16.04.3 中安装了 chkrootkit 。
chkrootkit 首次运行后发现可疑文件和目录:

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id

我注意到三年前 stackexchange 的另一位用户发现了相同的误报并发布了Chkrootkit 发现大量可疑文件和目录,并且 /sbin/init 已感染

常见问题解答编号 8chkrootkit 官方网站指出,他们无法将误报列入白名单,因为攻击者可能会使用此功能,因为他知道 chkrootkit 会忽略某些文件和目录。

您建议如何处理这一长串文件和目录?我如何检查它们是否为误报?如果它们是误报,是否有任何方法可以将这些文件与其原始内容进行比较(与使用的包一样dpkg -V)?

答案1

由于显而易见的原因,白名单通常已被弃用(也参见chkrootkit 常见问题#8)。

但是,正如您特别要求的那样,其中提到了一种方法(使用 debian) 如何在chkrootkit中处理潜在的FP当然,您需要自行评估和承担风险:

/usr/sbin/chkrootkit | /bin/grep -vf /usr/local/share/chkrootkit/ignore-fp.txt

在哪里/usr/local/share/chkrootkit/ignore-fp.txt保存要忽略的正则表达式或文件。

使用 debian,您可以检查已知良好的安装文件:

/usr/bin/debsums -sa

包括配置文件检查(“-a”)并且仅报告错误“-s”),cf使用 debsum

一如既往,运用常识,投入大量时间并进行仔细调查。采取主动和事前行为是该领域的关键。强化系统的最佳实践可以在网络上随处找到,请务必进行大量研究,并避免局限于一个或第一个清单。需要持续工作才能掌握一切。加起来:在这种情况下,白名单似乎不是一条出路。

华泰

相关内容