问题:Rootkit 检查... 已检查的 Rootkit 数:498 可能的 Rootkit 数:5
/usr/bin/bsd-mailx [ Warning ]
重新安装后,消息仍然存在,但现在有了新消息:/usr/bin/lwp-request ::警告此处::正在检查“lkm”...OooPS,不是预期的 329818 值 chkproc:警告:可能安装了 LKM 特洛伊木马
没有检测到任何 rootkit:rkhunter(但仍然说可能 5)我不喜欢我的电脑上有零日漏洞;这里还出现了:
检查可疑(大型)共享内存段 [警告]
那是什么???
我认为这些都是来自 rootkit 扫描器的内容...
clamav 正在扫描...新发现:只有 3 个可能的 rootkit??rkhunter 是一款好软件吗?!!!这是由 clamav 发现的(我尝试为 ubuntu touch 构建 halium-boot)/home/france1/.fairphone3/halium/external/curl/lib/mk-ca-bundle.vbs:Sanesecurity.Malware.25834.JsHeur.UNOFFICIAL FOUND
答案1
rkhunter 是一款不错的软件,但是你必须知道如何使用它。
rkhunter 寻找攻击指标 (IOC)。IOC 不是证明你已经受到了攻击,但正如名称所示,只是一个指标可能确实如此。因此,如果 rkhunter 发出警告,您应该调查此事,如果发现它发现的内容实际上在您的系统上是合法的,请更新您的 rkhunter 策略,以便它知道不要再抱怨此事。
例如,rkhunter 会查找已知恶意软件用来隐藏自身的某些类型的共享内存段。但这种类型的共享内存段也有合法用途,例如在数据库软件中。因此,如果您首次在数据库服务器上运行 rkhunter,它会对这些共享内存段发出警告。如果您调查并发现您的数据库合法使用了它们,则在 rkhunter 策略中添加一条声明,这样 rkhunter 就不会再对这些共享内存段发出警告。