chkrootkit 显示“tcpd”已感染。这是误报吗?

chkrootkit 显示“tcpd”已感染。这是误报吗?

chkrootkit 扫描显示“tcpd”已感染。但 rkhunter 扫描显示正常(常规误报除外)

我应该担心吗?(我在 Ubuntu 16.10 上,版本号为 4.8.0-37-generic)

答案1

此 Ubuntu 论坛帖子,用户 kpatz 在新的 16.10 VM 中对此进行了测试,但 chkrootkit 仍然报错,因此这是一个误报。你始终可以通过比较软件包中的 md5sum 来检查文件是否被篡改:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

当然,md5sums 文件本身可能被篡改,(它md5sum本身也可能被篡改等等……)。

答案2

这是由主 chkrootkit 脚本中的错误引起的误报。我试图在此处发布修复程序,但被否决了。我向 chkrootkit 开发人员报告了此问题,但如果您想修复此问题以使其真正发挥作用,您可能需要查看:https://www.linuxquestions.org/questions/linux-security-4/chkrootkit-tcpd-521683/page2.html#post5788733

答案3

我的也被列为“已感染”(Ubuntu 18.10)...所以我使用 debsums 实用程序交叉检查了 tcpd,即:

sudo debsums | grep tcpd

它被列为“OK”。

答案4

您可以尝试将它们上传到像virustotal这样的网站进行测试,我相信BitDefender有一个一分钟的rootkit扫描程序可用(不确定是否支持多操作系统)。

如果您有 rootkit,如果没有上述可靠的文档记录,就无法知道它是否是误报,因为具有 root 访问权限的恶意程序可以隐藏自身。您似乎很担心,或者只是遵循 CAPS LOCKS 的语法,但将来我建议您保管和备份重要文件(通过云或外部存储,您必须注意不要交叉感染),例如数据库、家庭照片、工作、令人反感的视频等。

检查 md5 总和是否存在重要垃圾的不一致。这些垃圾主要是可以授予 root 访问权限或发行版本身的任何内容。如果您正在运行全新安装或不介意这样做,您可以随时擦除并再次检查。

快速编辑: BitDefender实际上不支持除 Windows 之外的任何程序。旁注:所有防病毒程序都在对你和你的互联网使用情况进行数据挖掘。开源万岁。

关于 rootkit 的阴险本质以及它们如何容易地传播。

相关内容