muru, obrigado! Ajudou! ps Como voto na reputação de um usuário? (você neste caso)
mariner 15/02
Isso foi apenas um comentário. Vou postar uma resposta em um momento, que você pode aceitar, se quiser.
muru
A varredura direta sudo chkrootkit tcpdretorna infected?
NaXa
1
O meu surgiu como INFECTADO também e não está instalado.
Jason
Respostas:
36
Em deste Fórum pós Ubuntu , kpatz usuário testado isso em um fresco 16.10 VM e chkrootkit ainda queixou-se, tornando este um falso positivo. Você sempre pode verificar se um arquivo foi violado comparando o md5sum do pacote:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
Obviamente, o próprio arquivo md5sums pode ter sido adulterado (e assim também poderia md5sume assim por diante ...).
Muru, obrigado por uma resposta tão rápida! Foi realmente útil. (infelizmente, o sistema não me permite votar em sua reputação. Ele diz que ainda não estou autorizado a fazer isso: (((((
mariner
Ao verificar se algo é malicioso ou não e ao comparar com uma boa versão conhecida, os MD5s são provavelmente os piores hashsums a serem usados devido a colisões.
2
No meu caso, o uso do Ubuntu 18.04 tcpd nem estava instalado e foi relatado como infectado!
Você pode tentar enviá-los para sites para testes como o virustotal e acredito que o BitDefender tem um programa de scanner de rootkit de um minuto disponível (sem ter certeza do suporte a vários sistemas operacionais).
Se você possui um rootkit, não há como saber se é um falso positivo sem documentação sólida, como foi postado acima, considerando que um programa malicioso com acesso root pode se ocultar. Você parece estar preocupado ou está apenas seguindo a sintaxe do CAPS LOCKS, mas no futuro eu recomendaria fazer o backup e fazer backup de arquivos essenciais (por meio de uma nuvem ou de um externo que você deve tomar cuidado para não infectar), como bancos de dados , fotos de família, trabalho, vídeos desagradáveis etc.
verifique a soma do md5 quanto a inconsistências para o lixo importante. O que é basicamente tudo o que pode ser dado acesso root ou a própria distribuição. E se você estiver executando uma nova instalação ou não se importa de fazer uma, sempre pode limpar e verificar mais uma vez.
Edição rápida: O
BitDefender não oferece suporte para nada além do Windows. Sidenote, todos os programas antivírus estão datamining você e seu uso da Internet. Ftw de código aberto.
sudo chkrootkit tcpdretornainfected?Respostas:
Em deste Fórum pós Ubuntu , kpatz usuário testado isso em um fresco 16.10 VM e chkrootkit ainda queixou-se, tornando este um falso positivo. Você sempre pode verificar se um arquivo foi violado comparando o md5sum do pacote:
Obviamente, o próprio arquivo md5sums pode ter sido adulterado (e assim também poderia
md5sume assim por diante ...).fonte
Este é um falso positivo causado por um bug no script principal do chkrootkit. Tentei postar a correção aqui, mas tive o voto negativo. Eu relatei o problema para os desenvolvedores do chkrootkit, mas se você deseja corrigir o problema para que ele funcione de verdade, consulte: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733
fonte
O meu também foi listado como "INFECTADO" (Ubuntu 18.10) ... então eu cruzei o tcpd usando o utilitário debsums, ou seja:
Foi listado como "OK".
fonte
Você pode tentar enviá-los para sites para testes como o virustotal e acredito que o BitDefender tem um programa de scanner de rootkit de um minuto disponível (sem ter certeza do suporte a vários sistemas operacionais).
Se você possui um rootkit, não há como saber se é um falso positivo sem documentação sólida, como foi postado acima, considerando que um programa malicioso com acesso root pode se ocultar. Você parece estar preocupado ou está apenas seguindo a sintaxe do CAPS LOCKS, mas no futuro eu recomendaria fazer o backup e fazer backup de arquivos essenciais (por meio de uma nuvem ou de um externo que você deve tomar cuidado para não infectar), como bancos de dados , fotos de família, trabalho, vídeos desagradáveis etc.
verifique a soma do md5 quanto a inconsistências para o lixo importante. O que é basicamente tudo o que pode ser dado acesso root ou a própria distribuição. E se você estiver executando uma nova instalação ou não se importa de fazer uma, sempre pode limpar e verificar mais uma vez.
Edição rápida: O BitDefender não oferece suporte para nada além do Windows. Sidenote, todos os programas antivírus estão datamining você e seu uso da Internet. Ftw de código aberto.
tl; dr sobre a natureza insidiosa dos rootkits e a facilidade com que eles se propagam.
fonte