如何修复可能受感染的二进制文件?

如何修复可能受感染的二进制文件?

当我在我的计算机(Ubuntu 14.04)上安装更新时,我输入了密码,以为这是要求定期更新,但是当我注意到一些奇怪的行为并此时崩溃时,我怀疑是恶意活动。我检查了是否有一些修改过的文件

find /sbin -mtime -1

它向我展示了:

/sbin

/sbin/ldconfig.real

/sbin/ldconfig

然后我用以下命令检查了 rootkit:

chkrootkit | grep INFECTED

它什么也没显示

不过我担心ldconfig ldconfig.real文件,所以我正在寻找更新它们的方法,以便删除最后的更改(可能的恶意活动)。 当我尝试重新安装时ldconfig,在删除时出现此错误apt-get

E: 无法找到软件包 ldconfig

答案1

两个文件都来自libc-bin

$ dpkg -S /sbin/ldconfig{,.real}
libc-bin: /sbin/ldconfig
libc-bin: /sbin/ldconfig.real

所以你可以重新安装:

sudo apt install --reinstall libc-bin

但是,如果像 libc 这样的基本内容确实被感染,您将无法将其从实时系统中删除。它可以轻松地修补任何链接到它的东西,以重新感染您的计算机。您可能可以从 LiveCD chroot 挂载它并重新安装所有内容...或者只是从头开始重新安装并复制您的(已检查和清理的)数据。

但你首先真的被感染了吗?我不知道你为什么认为你是。最近出现了 libc 补丁(它们通常是相当频繁的 IME),所以我不确定您所看到的不是标准的东西。


我真的认为你不必要地将更可能是错误更新、随机错误、重新加载到新版本 libc 的服务等引入灾难场景。特别是当我们谈论“一些警告”而不知道它们是什么时。警告总是发生。

你只有几个选择:

  • 从安全环境(即 Live CD/USB)审核文件。如果您声称与以下版本相同原件但他们md5sum(或者sha256sum,无论你想变得多么偏执)不同,你就有问题了。
  • 假设发生灾难并重新安装。
  • 服用蓝色药丸,故事结束,你在床上醒来,相信你想相信的一切。无知就是幸福,对吗?

相关内容