如何验证 sbin/init 未被感染?

tag-icon tag-icon security init rootkit
如何验证 sbin/init 未被感染?

有一段时间,chkrootkit 一直显示 sbin/init 感染了 SuckIt rootkit。今年年初,当警告首次出现时,快速的谷歌搜索表明这很可能是误报。

我今天再次检查,chkrootkit 再次显示 sbin/init 已被感染。

一些文章建议可以使用 RPM 验证 sbin/init。

我安装了 rpm 并尝试了以下命令:

rpm -qf /sbin/init

返回结果为:

文件 /sbin/init 不属于任何包

我还在某处读到 /sbin/init 应该是一个系统链接(尽管那是针对不同的发行版)并且在我的系统上 /sbin/init 似乎是一个可执行文件。

命令,

ls -l /sbin/init

返回以下内容:

-rwxr-xr-x 2 root root 252080 7月 18日 15:18 /sbin/init

有什么方法可以验证 /sbin/init 确实没有被感染吗?

我的笔记本电脑上运行着 ubuntu 14.04 LTS(未连接局域网)

谢谢。

编辑:

我安装并运行了 rkhunter

它对“SuckIt”rootkit 的检查结果为阴性,但后来报告称:

执行额外的 rootkit 检查 Suckit Rookit 额外检查 [警告]

和,

Checking the local host...

  Performing system boot checks
    **Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]**
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    **Checking for passwd file                                 [ Found ]**
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ None found ]

  Performing system configuration file checks
    **Checking for SSH configuration file                      [ Not found ]
    Checking for running syslog daemon                       [ Found ]**
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]


Rootkit checks...
    Rootkits checked : 292
    Possible rootkits: 1
    Rootkit names    : Suckit Rookit (additional checks)

我应该担心吗?

更新:查看了 rkhunter 日志后,我发现它警告可能存在 suckit 感染的原因是因为 /sbin/init 有多个硬链接,这是我自己造成的。删除额外的硬链接后,rkhunter 报告系统已清理。

所以基本上只是 chkrootkit 报告 Suckit 感染,这可能是误报。

答案1

您可以通过安装“debsums”包并运行来检查 /sbin/init 的完整性debsums -c

这将检查系统上的所有文件并告诉您它们自从 .deb 文件安装以来是否被修改过(如果它们来自 .deb 文件)。

如果它返回而没有报告任何变化,则表示 /sbin/init 没有被修改。

如果你想要专门检查某个特定的包而不检查整个系统(这将产生大量的 I/O 并且可能需要时间),你可以找出它正在使用的包dpkg -S /path/to/filename,例如:

# dpkg -S /sbin/init upstart: /sbin/init

这告诉您该文件是由“upstart”包安装的(至少在 14.04 上)。

然后您可以使用dpkg --verify upstart,它会告诉您是否从基础 upstart .deb 修改了任何文件。

答案2

clamav 可能会检测到此病毒?,但不知道如何清理文件。您可能需要启动恢复会话,手动安装 live cd。将 init 从 cd 复制到硬盘上。

相关内容