当我使用 rkhunter 时,它总是显示两个警告和可能的 4 个 Rootkit 信息:
Checking for suspicious (large) shared memory segments [ Warning ]
Checking for hidden files and directories [ Warning ]
File properties checks...
Files checked: 149
Suspect files: 0
Rootkit checks...
Rootkits checked : 480
Possible rootkits: 4
Applications checks...
All checks skipped
其余的都可以。使用 chkrootkit 我总是只收到一个警报:tcpd 已感染。我用了:
sudo sha1sum /usr/sbin/tcpd
答案是:
9ee346a9400f52e16576db35c310a72af391e199 /usr/sbin/tcpd
我发现它应该是:
cd9cfc19df7f0e4b7f9adfa4fe8c5d74caa53d86 /usr/sbin/tcpd
我的系统有可能被感染吗?我有 Linux Mint 19 伙伴。
答案1
您应该在每次更新之前和之后运行rkhunterand 。这是为了避免误报。不幸的是,如果您不以这种方式使用它们,您将无法知道您是否仅被这些工具感染。chkrootkitrkhunter --propupdchkrootkit --update
您曾说过,手动比较 sha1sum 时它们不匹配,这表明它很可能已被篡改或感染。
我会备份重要文件并擦除/清零并重新安装系统。然后按照描述运行检查。(这做保证感染已被清除!)
如果您不能或不想这样做,您可以删除受感染的文件并将已知的干净版本放在那里。(这确实不是保证感染已被清除!)