我无法理解chkrootkit
命令的输出:
$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory
这是什么意思?
答案1
文件.*.hmac
是一些加密软件的签名文件, 由...制作菲普检查。他们的存在一点也不可疑。他们似乎是常见的 错误的 积极的一面来自 Fedora 上的 chkrootkit。
至于该firefox-3.6/.autoreg
文件,它是 Firefox 的正常部分,您可以不是 这 第一的看看 chkrootkit 对此的抱怨。
不存在的情况/proc/2980/fd/129
可能是因为进程 2980 在 chkrootkit 访问该文件时关闭了该文件(甚至退出)。
您将获得更多信息,无需-q
.
这些很可能是误报。另一方面,了解 chkrootkit 的攻击者可能会故意将其恶意软件植入这些已知的常见误报之一中。从令人抓狂的角度来看,从您正在检查的系统中运行 chkrootkit 几乎毫无用处:编写良好的恶意软件会侵入内核,并安排使 chkrootkit 和其他入侵或恶意软件检测工具看起来一切正常。
答案2
“没有这样的文件”错误仅仅意味着它希望找到一些东西但找不到。在这种情况下,有一个正在运行的系统进程,但是当它去检查与其相关的进程条目时,它们不在那里。这可能意味着该过程被隐藏并且很糟糕,也可能意味着它在被查看之前自然停止了。
其他文件是您系统上 chkrootkit 认为可疑且应进行调查的文件。[编辑:]在这种情况下,它们主要是以点开头的库文件,但也有一个额外的扩展名。您查找这些文件是什么并找出它们来自哪里。