薄荷 19 tcpd 感染 sha1sum

薄荷 19 tcpd 感染 sha1sum

当我使用 rkhunter 时,它总是显示两个警告和可能的 4 个 Rootkit 信息:

Checking for suspicious (large) shared memory segments   [ Warning ]
Checking for hidden files and directories                [ Warning ]
File properties checks...
    Files checked: 149
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 480
    Possible rootkits: 4

Applications checks...
    All checks skipped

其余的都可以。使用 chkrootkit 我总是只收到一个警报:tcpd 已感染。我用了:

sudo sha1sum /usr/sbin/tcpd

答案是:

9ee346a9400f52e16576db35c310a72af391e199  /usr/sbin/tcpd

我发现它应该是:

cd9cfc19df7f0e4b7f9adfa4fe8c5d74caa53d86  /usr/sbin/tcpd

我的系统有可能被感染吗?我有 Linux Mint 19 伙伴。

答案1

您应该在每次更新之前和之后运行rkhunterand 。这是为了避免误报。不幸的是,如果您不以这种方式使用它们,您将无法知道您是否仅被这些工具感染。chkrootkitrkhunter --propupdchkrootkit --update

  • 您曾说过,手动比较 sha1sum 时它们不匹配,这表明它很可能已被篡改或感染。

  • 我会备份重要文件并擦除/清零并重新安装系统。然后按照描述运行检查。(这保证感染已被清除!)

  • 如果您不能或不想这样做,您可以删除受感染的文件并将已知的干净版本放在那里。(这确实不是保证感染已被清除!)

相关内容