我刚刚清理了被黑的 CentOS 服务器(因为自 5.3 版以来没有更新)。但是,“chkrootkit”仍然显示以下内容:
Possible t0rn v8 \(or variation\) rootkit installed
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libgcrypt.so.11.hmac
/usr/lib/.libfipscheck.so.1.hmac
/lib/.libcrypto.so.0.9.8e.hmac
/lib/.libssl.so.0.9.8e.hmac
/lib/.libssl.so.6.hmac
/lib/.libcrypto.so.6.hmac
/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist
/usr/lib/gtk-2.0/immodules/.relocation-tag
/usr/lib/python2.4/plat-linux2/.relocation-tag
/usr/lib/python2.4/distutils/.relocation-tag
/usr/lib/python2.4/config/.relocation-tag
难道“chkrootkit”不喜欢.hmac、.packlist 和 .relocation-tag 文件吗?
这些真的还被感染吗?
答案1
我根本不相信“清理”受到感染的服务器,并认为“从轨道上发射核弹”才是唯一的补救措施。
无论如何,判断这些文件是否合法的唯一方法是将这些文件的校验和与全新安装中已知好文件的校验和进行比较,但我认为这些库文件名前面加上了 以.在正常情况下隐藏它们这一事实ls足以让人担心。
答案2
来自www.chkrootkit.org:
“问:chkrootkit 报告某些文件和目录可疑:.packlist、.cvsignore 等。这些显然是误报。您不能忽略这些吗?
答:忽略某些文件和目录可能会损害 chkrootkit 的准确性。攻击者可能会利用这一点,因为他知道 chkrootkit 会忽略某些文件和目录。