chkrootkit 扫描显示“tcpd”被感染。虽然 rkhunter 的扫描显示正常,(除了常规误报)
我会担心吗?(我在 Ubuntu 16.10 上使用 4.8.0-37-generic)
我最近跑了sudo chkrootkit,这是结果之一:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
在我对此的研究中,我发现了这个线程,所以我尝试运行那里推荐的命令,前两个命令:
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
什么都没输出。但是这个命令:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
输出:
System infected
那我是不是被感染了?我读到了这个(虽然我之前找到了一份更具描述性的报告,但再也找不到了),所以会是这样吗?我已经完成了全新安装,但仍被检测到。那么有没有办法进一步检查,我应该担心吗?
操作系统信息:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
包装信息:
chkrootkit: …当我用chkrootkit它扫描我的机器时,我注意到它总是说其中一个:
Checking `syslogd'... not tested
为什么这没有经过测试?是否应该对此进行测试?如果对它进行测试是一件好事,我如何才能对其进行测试?
Description: Ubuntu 14.10
Release: 14.10
chkrootkit:
Installed: 0.49-5ubuntu1
Candidate: 0.49-5ubuntu1
Version table:
*** 0.49-5ubuntu1 0
500 http://gb.archive.ubuntu.com/ubuntu/ utopic/universe amd64 Packages
100 /var/lib/dpkg/status