昨天下载后我的电脑崩溃了。我今天更新了并检查了 rootkit。我发现了一个数据包嗅探器
eth0: PACKET SNIFFER(/sbin/dhclient[3966])
我怎样才能删除它?
答案1
我认为这可能是误报。尝试检查亨特,因为它的误报较少。要下载 亨特,有关如何使用它的更多详细信息,请参阅此网站
如果结果正常,那么您就有理由担心。
也尝试一下这个:
rkhunter --checkupdatesudo rkhunter --propupdrkhunter --check
答案2
isc-dhcp-client和软件包isc-dhcp-server(DHCP 客户端和服务器)定期重新运行其守护进程并导致“数据包嗅探器”误报。chkrootkit软件包的/etc/cron.daily/chkrootkit脚本对此有一个解决方法,即尝试用静态字符串替换 PID。
但是,解决误报的办法不起作用。这是因为在 Debian 上,这些软件包的二进制文件通常以版本号结尾,例如/sbin/dhclient3。但是chkrootkit软件包维护者从未更新/etc/cron.daily/chkrootkit以使用版本 4 系列的isc-dhcp-client和isc-dhcp-server软件包,这些软件包的文件没有版本号。
要修复此问题,请制作备份副本/etc/cron.daily/chkrootkit然后编辑并更改...
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \
...到...
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \
请小心在行尾留下反斜杠。
答案3
客户端是 Ubuntu 的标准“动态主机配置协议客户端”,当您没有固定 IP 但仍希望通过互联网访问时需要它。
如果你担心,你应该检查你的dhclient.conf查找不需要的条目。