我在我的服务器上执行了 rkhunter -c,并收到以下文件的警告:
/bin/GET
/bin/wget
/usr/local/bin/rkhunter
Performing trojan specific checks
Checking for enabled xinetd services [ Warning ]
Checking for Apache backdoor [ Not found ]
您能给我一些关于如何处理上述文件的建议吗?
另外,为什么 rkhunter 会给自己发出警告?
先感谢您!
答案1
我绝不是 rkhunter 专家,但有些事情我想要知道。您是否在全新安装中安装了已知良好的软件包的 rkhunter?我相信您应该在全新系统上安装,然后运行,
rkhunter --propupd
这样它就可以构建已知良好文件的数据库。然后当您运行它时,它就知道要与什么进行比较。我现在还会使用“--report-warnings-only”标志运行 rkhunter。您最好发布来自 rkhunter 的日志,如果它们真的很长,则将它们粘贴到 pastebin 中。我还会验证我的所有软件包是否良好,这将取决于您运行的发行版。您有理由寻找 rootkit 吗?
答案2
那些文件
/bin/GET
/bin/wget
/usr/local/bin/rkhunter
是您应该期望存在的所有文件(尽管 GET 通常位于 /usr/bin 中)。wget 是 Linux 的正常组成部分,也是一个有用的程序。显然,一些 rootkit 会利用它,并且可能有时会将其包含在内。我在 Windows PC 上安装了 wget,AVG 经常将其报告为可疑文件。
除非您有其他证据证明存在 rootkit,否则我不会太担心。您可以将这些文件的校验和或哈希值与预期值进行比较 - 但请记住,如果您的计算机受到严重攻击,校验和可能会被伪造。
我会检查 xinetd 配置文件并禁用您当前未使用的任何服务。