chkrootkit zeigt "tcpd" als INFECTED an. Ist es falsch positiv?

25

Scan by chkrootkit zeigt "tcpd" als INFIZIERT an. Obwohl ein Scan von rkhunter ok ist (außer bei normalen False Positives)

Soll ich mir Sorgen machen? (Ich bin auf Ubuntu 16.10 mit 4.8.0-37-generic)

Seemann
quelle
muru, danke! Es half! ps Wie stimme ich für die Reputation eines Nutzers? (Sie in diesem Fall)
Seemann
Das war nur ein Kommentar. Ich werde gleich eine Antwort posten, die Sie akzeptieren können, wenn Sie möchten.
muru
Hat direkte Scan sudo chkrootkit tcpdkehrt infected?
NaXa
1
Meins war ebenfalls INFECTED und ist nicht installiert.
Jason

Antworten:

36

In diesem Ubuntu- Forumsbeitrag hat Benutzer kpatz dies auf einer neuen 16.10-VM getestet und chkrootkit hat sich immer noch beschwert, was dies zu einem falsch positiven Ergebnis macht. Sie können jederzeit überprüfen, ob eine Datei manipuliert wurde, indem Sie die md5sum aus dem Paket vergleichen:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Natürlich kann die md5sums-Datei selbst manipuliert sein (und könnte md5sumsich selbst manipulieren und so weiter ...).

muru
quelle
1
Muru, danke für die schnelle Antwort! Es war sehr hilfreich. (Leider lässt mich das System nicht für Ihren Ruf stimmen. Es besagt, dass ich dazu noch nicht berechtigt bin: (((((
mariner
Bei der Überprüfung, ob etwas bösartig ist oder nicht, und bei der Überprüfung auf eine bekannte gute Version, sind MD5s wahrscheinlich die schlechtesten Hashsummen, die aufgrund von Kollisionen zu verwenden sind.
2
In meinem Fall wurde Ubuntu 18.04 tcpd nicht einmal installiert und als infiziert gemeldet!
Philippe Delteil
7

Dies ist ein falsches positives Ergebnis, das durch einen Fehler im Haupt-chkrootkit-Skript verursacht wurde. Ich habe versucht, das Update hier zu veröffentlichen, wurde aber abgelehnt. Ich habe das Problem den chkrootkit-Entwicklern gemeldet, aber wenn Sie das Problem beheben möchten, damit es tatsächlich funktioniert, sollten Sie Folgendes überprüfen: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733


quelle
0

Meins war auch als "INFECTED" (Ubuntu 18.10) gelistet ... also habe ich tcpd mit dem Dienstprogramm debsums überprüft, dh:

sudo debsums | grep tcpd

Es wurde als "OK" aufgeführt.

Jay Marm
quelle
0

Sie können versuchen, sie auf Websites wie virustotal hochzuladen, um sie zu testen, und ich glaube, BitDefender verfügt über ein einminütiges Rootkit-Scannerprogramm (nicht sicher, ob es mehrere Betriebssysteme unterstützt).

Wenn Sie über ein Rootkit verfügen, können Sie nicht feststellen, ob es sich, wie oben beschrieben, um ein falsches Positiv ohne solide Dokumentation handelt, da sich ein Schadprogramm mit Root-Zugriff verstecken kann. Sie scheinen besorgt zu sein oder folgen nur der Syntax von CAPS LOCKS, aber in Zukunft würde ich empfehlen, wichtige Dateien (entweder über eine Cloud oder über ein externes System, das Sie nicht infizieren müssen) wie Datenbanken zu sichern , Familienfotos, Arbeit, unappetitliche Videos usw.

Überprüfen Sie die MD5-Summe auf Inkonsistenzen für den wichtigen Müll. Welches ist meist alles, was Root-Zugriff oder die Distribution selbst gegeben werden kann. Und wenn Sie gerade eine Neuinstallation ausführen oder es Ihnen nichts ausmacht, können Sie diese jederzeit erneut abwischen und überprüfen.

Schnelle Bearbeitung: BitDefender bietet keine Unterstützung für etwas anderes als Windows. Nebenbei bemerkt, alle Antivirenprogramme erfassen Sie und Ihre Internetnutzung. Open Source ftw.

tl; dr über die heimtückische Natur von Rootkits und wie leicht sie sich verbreiten.

avisitoritseems
quelle