我的系统是最新的 Ubuntu 13.10
我已经安装了 Tiger,但出现了此问题
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...
OLD: --ALERT-- [rootkit005a] Chkrootkit has found a file which seems to be infected because of a rootkit
OLD: --ALERT-- [rootkit009a] A rootkit seems to be installed in the system
OLD: INFECTED (PORTS: 60001)
什么?!
我也尝试过 rkhunter:并没有直接找到任何东西,这里是各种警告
/usr/bin/unhide.rb [ Warning ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
还有 suckit 的事情(在另一个帖子中描述)http://ubuntuforums.org/showthread.php?t=1680428),但是这已被排除是一个错误。
看着
netstat -ltnp
这个端口上什么都没有,至少现在没有。
我该如何验证这一点?我该如何着手?
答案1
每当您想要查看哪个进程保持端口打开时,请使用 lsof 命令。对于 tcp 端口,请使用 lsof -i tcp:80;对于 udp 端口,请使用 lsof -i udp:53。该信息将提供您所需的所有信息,包括进程名称、pid 和所有权。例如:
cyberfarer@Quadraphenia:~$ sudo lsof -i tcp:80
[sudo] password for cyberfarer:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
apache2 2723 root 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2751 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2752 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2753 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2754 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
apache2 2755 www-data 3u IPv4 16241 0t0 TCP *:http (LISTEN)
快速、简单,无需不必要的滚动和解读。