chkrootkit menunjukkan "tcpd" sebagai INFECTED. Apakah ini positif palsu?

25

Memindai dengan chkrootkit menunjukkan "tcpd" sebagai INFEKSI. Meskipun pemindaian oleh rkhunter menunjukkan ok, (kecuali untuk false positive)

Haruskah saya khawatir? (Saya di Ubuntu 16.10 dengan 4.8.0-37-generik)

— pelaut
sumber

2

ubuntuforums.org/showthread.php?t=2346505

— muru

muru, terima kasih! Itu membantu! ps Bagaimana cara saya memilih reputasi pengguna? (Anda dalam hal ini)

— pelaut

Itu hanya komentar. Saya akan memposting jawaban sebentar lagi, yang dapat Anda terima, jika Anda mau.

— muru

Apakah pemindaian langsung sudo chkrootkit tcpdkembali infected?

— naXa

1

Milik saya muncul sebagai INFECTED juga dan tidak diinstal.

— Jason

36

Dalam posting Forum Ubuntu ini , pengguna kpatz menguji ini dalam VM 16,10 baru dan chkrootkit masih mengeluh, membuat ini menjadi positif palsu. Anda selalu dapat memeriksa apakah suatu file telah dirusak dengan membandingkan md5sum dari paket:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Tentu saja, file md5sums itu sendiri mungkin dirusak, (dan juga bisa md5sumsendiri dan seterusnya ...).

— muru
sumber

1

Muru, terima kasih atas tanggapan yang cepat! Itu sangat membantu. (Sayangnya sistem tidak akan membiarkan saya memilih reputasi Anda. Dikatakan saya belum diizinkan untuk itu: (((((

— mariner

Ketika memeriksa apakah ada sesuatu yang berbahaya atau tidak dan memeriksanya dengan MD5 versi bagus yang dikenal mungkin hashsum terburuk untuk digunakan karena tabrakan.

2

Dalam kasus saya, menggunakan Ubuntu 18.04 tcpd bahkan tidak diinstal dan dilaporkan telah terinfeksi!

— Philippe Delteil

7

Ini adalah false positive yang disebabkan oleh bug dalam skrip chkrootkit utama. Saya mencoba memposting perbaikan di sini, tetapi dibatalkan. Saya melaporkan masalah ini ke chkrootkit devs, tetapi jika Anda ingin memperbaiki masalah tersebut agar benar-benar berfungsi, Anda mungkin ingin memeriksa: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733

0

Tambang saya juga terdaftar sebagai "INFECTED" (Ubuntu 18.10) ... jadi saya memeriksa silang tcpd menggunakan utilitas debsums yaitu:

sudo debsums | grep tcpd

Itu terdaftar sebagai "OK".

— Jay Marm
sumber

0

Anda dapat mencoba mengunggahnya ke situs untuk pengujian seperti virustotal dan saya percaya BitDefender memiliki program pemindai rootkit satu menit tersedia (tidak yakin dengan dukungan multi OS).

Jika Anda memiliki rootkit, tidak ada cara untuk mengetahui apakah itu false positive tanpa dokumentasi yang solid seperti yang diposting di atas, mengingat bahwa program jahat dengan akses root dapat menyembunyikan dirinya sendiri. Anda tampaknya khawatir, atau hanya mengikuti sintaks CAPS LOCKS, tetapi di masa depan saya akan merekomendasikan vaulting dan membuat cadangan file penting (baik melalui cloud atau eksternal yang Anda harus berhati-hati agar tidak menginfeksi), seperti database , foto keluarga, pekerjaan, video tidak sopan, dll.

periksa jumlah md5 untuk ketidakkonsistenan untuk sampah penting. Yang sebagian besar adalah apa saja yang bisa diberikan akses root atau distro itu sendiri. Dan jika Anda menjalankan instalasi baru atau tidak keberatan melakukannya, Anda selalu dapat menghapus dan memeriksanya sekali lagi.

Edit cepat: BitDefender sebenarnya tidak menawarkan dukungan untuk apa pun selain Windows. Sidenote, semua program antivirus sedang mendata Anda dan penggunaan internet Anda. Sumber terbuka ftw.

tl; dr pada sifat berbahaya rootkit dan betapa mudahnya mereka berkembang biak.

— avisitoritseems
sumber