O chkrootkit mostra "tcpd" como INFECTED. É um falso positivo?

25

A varredura por chkrootkit mostra "tcpd" como INFECTADO. Embora uma varredura por rkhunter mostre ok, (exceto para falsos positivos regulares)

Devo ficar preocupado? (Estou no Ubuntu 16.10 com 4.8.0-37-generic)

marinheiro
fonte
muru, obrigado! Ajudou! ps Como voto na reputação de um usuário? (você neste caso)
mariner 15/02
Isso foi apenas um comentário. Vou postar uma resposta em um momento, que você pode aceitar, se quiser.
muru
A varredura direta sudo chkrootkit tcpdretorna infected?
NaXa
1
O meu surgiu como INFECTADO também e não está instalado.
Jason

Respostas:

36

Em deste Fórum pós Ubuntu , kpatz usuário testado isso em um fresco 16.10 VM e chkrootkit ainda queixou-se, tornando este um falso positivo. Você sempre pode verificar se um arquivo foi violado comparando o md5sum do pacote:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Obviamente, o próprio arquivo md5sums pode ter sido adulterado (e assim também poderia md5sume assim por diante ...).

muru
fonte
1
Muru, obrigado por uma resposta tão rápida! Foi realmente útil. (infelizmente, o sistema não me permite votar em sua reputação. Ele diz que ainda não estou autorizado a fazer isso: (((((
mariner
Ao verificar se algo é malicioso ou não e ao comparar com uma boa versão conhecida, os MD5s são provavelmente os piores hashsums a serem usados ​​devido a colisões.
2
No meu caso, o uso do Ubuntu 18.04 tcpd nem estava instalado e foi relatado como infectado!
Philippe Delteil
0

O meu também foi listado como "INFECTADO" (Ubuntu 18.10) ... então eu cruzei o tcpd usando o utilitário debsums, ou seja:

sudo debsums | grep tcpd

Foi listado como "OK".

Jay Marm
fonte
0

Você pode tentar enviá-los para sites para testes como o virustotal e acredito que o BitDefender tem um programa de scanner de rootkit de um minuto disponível (sem ter certeza do suporte a vários sistemas operacionais).

Se você possui um rootkit, não há como saber se é um falso positivo sem documentação sólida, como foi postado acima, considerando que um programa malicioso com acesso root pode se ocultar. Você parece estar preocupado ou está apenas seguindo a sintaxe do CAPS LOCKS, mas no futuro eu recomendaria fazer o backup e fazer backup de arquivos essenciais (por meio de uma nuvem ou de um externo que você deve tomar cuidado para não infectar), como bancos de dados , fotos de família, trabalho, vídeos desagradáveis ​​etc.

verifique a soma do md5 quanto a inconsistências para o lixo importante. O que é basicamente tudo o que pode ser dado acesso root ou a própria distribuição. E se você estiver executando uma nova instalação ou não se importa de fazer uma, sempre pode limpar e verificar mais uma vez.

Edição rápida: O BitDefender não oferece suporte para nada além do Windows. Sidenote, todos os programas antivírus estão datamining você e seu uso da Internet. Ftw de código aberto.

tl; dr sobre a natureza insidiosa dos rootkits e a facilidade com que eles se propagam.

avisitoritseems
fonte