mar*_*ner 25 security rootkit malware tcpdump chkrootkit
chkrootkit 扫描显示“tcpd”被感染。虽然 rkhunter 的扫描显示正常,(除了常规误报)
我会担心吗?(我在 Ubuntu 16.10 上使用 4.8.0-37-generic)
mur*_*uru 35
在这篇 Ubuntu 论坛帖子中,用户 kpatz 在新的 16.10 虚拟机中对此进行了测试,但 chkrootkit 仍然抱怨,使其成为误报。您始终可以通过比较包中的 md5sum 来检查文件是否已被篡改:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
当然,md5sums 文件本身可能被篡改,(本身也可能被篡改,md5sum等等......)。
小智 7
这是由主 chkrootkit 脚本中的错误引起的误报。我试图在这里发布修复程序,但被否决了。我向 chkrootkit 开发人员报告了这个问题,但是如果您想解决该问题以使其真正起作用,您可能需要查看:https : //www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683/page2.html#post5788733