chkrootkit 显示“tcpd”已感染。这是误报吗？

在此 Ubuntu 论坛帖子，用户 kpatz 在新的 16.10 VM 中对此进行了测试，但 chkrootkit 仍然报错，因此这是一个误报。你始终可以通过比较软件包中的 md5sum 来检查文件是否被篡改：

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

当然，md5sums 文件本身可能被篡改，（它md5sum本身也可能被篡改等等……）。

这是由主 chkrootkit 脚本中的错误引起的误报。我试图在此处发布修复程序，但被否决了。我向 chkrootkit 开发人员报告了此问题，但如果您想修复此问题以使其真正发挥作用，您可能需要查看：https://www.linuxquestions.org/questions/linux-security-4/chkrootkit-tcpd-521683/page2.html#post5788733

我的也被列为“已感染”（Ubuntu 18.10）...所以我使用 debsums 实用程序交叉检查了 tcpd，即：

sudo debsums | grep tcpd

它被列为“OK”。

您可以尝试将它们上传到像virustotal这样的网站进行测试，我相信BitDefender有一个一分钟的rootkit扫描程序可用（不确定是否支持多操作系统）。

如果您有 rootkit，如果没有上述可靠的文档记录，就无法知道它是否是误报，因为具有 root 访问权限的恶意程序可以隐藏自身。您似乎很担心，或者只是遵循 CAPS LOCKS 的语法，但将来我建议您保管和备份重要文件（通过云或外部存储，您必须注意不要交叉感染），例如数据库、家庭照片、工作、令人反感的视频等。

检查 md5 总和是否存在重要垃圾的不一致。这些垃圾主要是可以授予 root 访问权限或发行版本身的任何内容。如果您正在运行全新安装或不介意这样做，您可以随时擦除并再次检查。

快速编辑： BitDefender实际上不支持除 Windows 之外的任何程序。旁注：所有防病毒程序都在对你和你的互联网使用情况进行数据挖掘。开源万岁。

关于 rootkit 的阴险本质以及它们如何容易地传播。