chkrootkit mostra "tcpd" come INFETTO. È un falso positivo?

25

La scansione di chkrootkit mostra "tcpd" come INFETTO. Anche se una scansione di rkhunter mostra ok, (tranne per i falsi positivi regolari)

Devo essere preoccupato? (Sono su Ubuntu 16.10 con 4.8.0-37-generico)

— marinaio
fonte

2

ubuntuforums.org/showthread.php?t=2346505

— muru,

grazie, grazie! Ha aiutato! ps Come posso votare per la reputazione di un utente? (tu in questo caso)

— marinaio

Era solo un commento. Invierò una risposta tra un momento, che puoi accettare, se lo desideri.

— Muru,

La scansione diretta sudo chkrootkit tcpdritorna infected?

— naXa,

1

Il mio è venuto anche come INFECTED e non è installato.

— Jason,

36

In questo post sui forum di Ubuntu , l'utente kpatz lo ha testato su una nuova macchina virtuale 16.10 e chkrootkit si è ancora lamentato, rendendolo un falso positivo. Puoi sempre verificare se un file è stato manomesso confrontando md5sum dal pacchetto:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Naturalmente, il file md5sums stesso potrebbe md5sumessere stato manomesso (e così potrebbe essere esso stesso e così via ...).

— Muru
fonte

1

Muru, grazie per la pronta risposta! È stato davvero utile (purtroppo il sistema non mi permette di votare per la vostra reputazione Dice Non sono ancora permesso di a che:. (((((

— Mariner

Quando si verifica se qualcosa è dannoso o no e se lo si confronta con una versione nota nota, gli MD5 sono probabilmente gli hashsum peggiori da utilizzare a causa delle collisioni.

2

Nel mio caso, l'utilizzo di Ubuntu 18.04 tcpd non è stato nemmeno installato ed è stato segnalato come infetto!

— Philippe Delteil,

7

Questo è un falso positivo causato da un bug nello script chkrootkit principale. Ho provato a pubblicare la correzione qui, ma sono stato sottoposto a downgrade. Ho segnalato il problema agli sviluppatori di chkrootkit, ma se desideri risolverlo in modo che funzioni effettivamente, potresti provare: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521.683 / page2.html # post5788733

0

Il mio è stato anche elencato come "INFECTED" (Ubuntu 18.10) ... quindi ho incrociato tcpd usando l'utilità debsums, ovvero:

sudo debsums | grep tcpd

È stato elencato come "OK".

— Jay Marm
fonte

0

Puoi provare a caricarli su siti per test come virustotal e credo che BitDefender abbia a disposizione un programma per scanner rootkit di un minuto (non sono sicuro del supporto multi OS).

Se hai un rootkit, non c'è modo di sapere se si tratta di un falso positivo senza una solida documentazione come è stato pubblicato sopra, considerando che un programma dannoso con accesso root può nascondersi. Sembra che tu sia preoccupato, o stai semplicemente seguendo la sintassi di BLOC MAIUSC, ma in futuro consiglierei di archiviare e eseguire il backup dei file essenziali (attraverso un cloud o un esterno che devi fare attenzione a non infettare) come i database , foto di famiglia, lavoro, video sgradevoli, ecc.

controlla la somma md5 per incoerenze per la posta indesiderata importante. Che è per lo più tutto ciò a cui può essere concesso l'accesso root o la stessa distribuzione. E se stai eseguendo una nuova installazione o non ti dispiace fare una, puoi sempre cancellarla e controllarla ancora una volta.

Modifica rapida: BitDefender in realtà non offre supporto per qualcosa di diverso da Windows. Inoltre, tutti i programmi antivirus trasmettono dati a te e al tuo utilizzo di Internet. Ftw open source.

tl; dr sulla natura insidiosa dei rootkit e su quanto facilmente si propagano.

— avisitoritseems
fonte