当我在我的计算机(Ubuntu 14.04)上安装更新时,我输入了密码,以为这是要求定期更新,但是当我注意到一些奇怪的行为并此时崩溃时,我怀疑是恶意活动。我检查了是否有一些修改过的文件
find /sbin -mtime -1
它向我展示了:
/sbin
/sbin/ldconfig.real
/sbin/ldconfig
然后我用以下命令检查了 rootkit:
chkrootkit | grep INFECTED
它什么也没显示
不过我担心ldconfig
ldconfig.real
文件,所以我正在寻找更新它们的方法,以便删除最后的更改(可能的恶意活动)。
当我尝试重新安装时ldconfig
,在删除时出现此错误apt-get
E: 无法找到软件包 ldconfig
答案1
两个文件都来自libc-bin
$ dpkg -S /sbin/ldconfig{,.real}
libc-bin: /sbin/ldconfig
libc-bin: /sbin/ldconfig.real
所以你可以重新安装:
sudo apt install --reinstall libc-bin
但是,如果像 libc 这样的基本内容确实被感染,您将无法将其从实时系统中删除。它可以轻松地修补任何链接到它的东西,以重新感染您的计算机。您可能可以从 LiveCD chroot 挂载它并重新安装所有内容...或者只是从头开始重新安装并复制您的(已检查和清理的)数据。
但你首先真的被感染了吗?我不知道你为什么认为你是。最近出现了 libc 补丁(它们通常是相当频繁的 IME),所以我不确定您所看到的不是标准的东西。
我真的认为你不必要地将更可能是错误更新、随机错误、重新加载到新版本 libc 的服务等引入灾难场景。特别是当我们谈论“一些警告”而不知道它们是什么时。警告总是发生。
你只有几个选择:
- 从安全环境(即 Live CD/USB)审核文件。如果您声称与以下版本相同原件但他们
md5sum
(或者sha256sum
,无论你想变得多么偏执)不同,你就有问题了。 - 假设发生灾难并重新安装。
- 服用蓝色药丸,故事结束,你在床上醒来,相信你想相信的一切。无知就是幸福,对吗?