通过chkrootkit扫描显示"tcpd"被感染。 尽管rkhunter的扫描结果正常(除了定期的误报),
我应该担心吗? (我使用的是Ubuntu 16.10,内核版本为4.8.0-37-generic)
4个回答
在这个Ubuntu论坛的帖子中,用户kpatz在一个新的16.10虚拟机上进行了测试,而chkrootkit仍然抱怨,这是一个假阳性。您可以通过比较软件包中的md5sum来始终检查文件是否被篡改:
当然,md5sums文件本身可能被篡改,(md5sum本身也可能如此,等等...)。
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
当然,md5sums文件本身可能被篡改,(md5sum本身也可能如此,等等...)。
- muru
3
1Muru,非常感谢你的迅速回复!真的帮了我很大的忙。(不幸的是,系统不允许我为你的声誉投票。它说我还不能这样做:((((() - user633620
在检查某物是否恶意以及将其与已知的良好版本进行对比时,MD5散列值可能是最糟糕的哈希算法之一,因为容易发生碰撞。 - user364819
2在我的情况下,使用Ubuntu 18.04时,tcpd甚至没有安装,并且被报告为感染! - Philippe Delteil
这是由主要的chkrootkit脚本中的一个错误引起的误报。我试图在这里发布修复方法,但被投票否决了。我已向chkrootkit开发人员报告了这个问题,但如果你想修复这个问题,使其真正起作用,你可能想查看一下:https://www.linuxquestions.org/questions/linux-security-4/chkrootkit-tcpd-521683/page2.html#post5788733
- user760856
我的Ubuntu 18.10也被列为“感染”,因此我使用debsums实用程序交叉检查了tcpd。
它被列为“OK”。
sudo debsums | grep tcpd
它被列为“OK”。
- Jay Marm
你可以尝试将它们上传到像virustotal这样的测试网站,我相信BitDefender有一个一分钟的rootkit扫描程序可用(不确定是否支持多个操作系统)。
如果你有一个rootkit,没有确凿的文档证明它是一个误报,就无法知道它是否是一个假阳性,因为具有root访问权限的恶意程序可以隐藏自己。你似乎很担心,或者只是按照大写锁定键的语法,但在将来,我建议你将重要文件(如数据库、家庭照片、工作文件、不良视频等)存放在云端或外部设备上,并注意不要交叉感染。
检查重要文件的MD5校验和是否存在不一致。这些文件主要包括任何可以获得root访问权限的内容或发行版本身。如果你正在运行全新安装的系统,或者不介意重新安装,你可以选择清除并再次检查。
快速编辑: 实际上,BitDefender只支持Windows系统。顺便说一下,所有的杀毒软件都在收集你的数据和互联网使用情况。开源万岁。
如果你有一个rootkit,没有确凿的文档证明它是一个误报,就无法知道它是否是一个假阳性,因为具有root访问权限的恶意程序可以隐藏自己。你似乎很担心,或者只是按照大写锁定键的语法,但在将来,我建议你将重要文件(如数据库、家庭照片、工作文件、不良视频等)存放在云端或外部设备上,并注意不要交叉感染。
检查重要文件的MD5校验和是否存在不一致。这些文件主要包括任何可以获得root访问权限的内容或发行版本身。如果你正在运行全新安装的系统,或者不介意重新安装,你可以选择清除并再次检查。
快速编辑: 实际上,BitDefender只支持Windows系统。顺便说一下,所有的杀毒软件都在收集你的数据和互联网使用情况。开源万岁。
- avisitoritseems
sudo chkrootkit tcpd返回的结果是被感染吗? - naXa stands with Ukraine