标签: rootkit

我最近跑了chkrootkit，得到以下行：

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

这究竟是什么意思？我听说这是一个误报，到底发生了什么。

谢谢，麻烦您了。

chkrootkit 扫描显示“tcpd”被感染。虽然 rkhunter 的扫描显示正常，（除了常规误报）

我会担心吗？（我在 Ubuntu 16.10 上使用 4.8.0-37-generic）

目前我所知道的唯一的 rootkit 扫描器必须在 rootkit 之前安装在机器上，以便它们可以比较文件更改等（例如：chkrootkit和rkhunter），但我真正需要做的是能够扫描我的机器和其他机器来自 LiveUSB，因为如果 rootkit 足够好，那么它也会接管 rootkit 检测程序。

那么是否有一个基于签名的 Ubuntu/Linux Rootkit 扫描器，我可以将它安装在 LiveUSB 上并用于可靠地扫描我插入它的机器，而无需监控行为或比较以前日期的文件？

我最近跑了sudo chkrootkit，这是结果之一：

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

在我对此的研究中，我发现了这个线程，所以我尝试运行那里推荐的命令，前两个命令：

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

什么都没输出。但是这个命令：

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

输出：

System infected

那我是不是被感染了？我读到了这个（虽然我之前找到了一份更具描述性的报告，但再也找不到了），所以会是这样吗？我已经完成了全新安装，但仍被检测到。那么有没有办法进一步检查，我应该担心吗？

操作系统信息：

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

包装信息：

chkrootkit: …

所以我有 clamav 防病毒软件，但这是对 rootkit 的保护还是我需要在 clamav 中安装 rootkit 猎人？

无论我打开什么网站，都会出现一个弹出式广告框。尝试重置设置，禁用扩展程序，删除 chrome 上的所有用户。

似乎这与 chrome 无关，因为同样的事情也发生在 Firefox 上，我以前甚至没有打开过。

我怀疑它可能与我最近添加的一些存储库有关，即使有怎么办？

让我描述一下弹出窗口，因为我没有足够的声誉而无法上传图像。它把自己放在页面的中间而不是那么大。不随页面的其余部分移动，在滚动页面时停留。里面有时会有谷歌广告。AdBlock 会阻止内容，但不会阻止弹出窗口本身。

检查元素的结果：

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins：

注意：使用 AdBlock Plus 可以阻止它。我只是将盒子的 div 的 id 添加到过滤器列表中，但这只是治愈了症状，而不是实际的疾病。于是旅程继续。

关于使用 ClamTk 进行扫描： 它发现了一些 1732 威胁，其中大部分（我的意思是几乎所有）由 Windows 文件和有趣的 ClamAV 自己的一些文件组成。只有有意义的条目是这些：

• /usr/lib/shim/shim.efi
• /usr/lib/shim/shim.efi.signed
• /boot/efi/EFI/ubuntu/shimx64.efi
• /boot/efi/EFI/ubuntu/MokManager.efi …

TLTR：我遇到了影响 Windows 8.1 和 Ubuntu 14.04 的病毒。该病毒已被证明无法被 50 多个最流行的防病毒程序/rootkit 检测/删除。该怎么办？完整的高清擦除有什么替代品吗？

事情是这样的：几个月来，我一直在 Windows 8.1 上遇到一种非常奇怪的病毒问题。

关于病毒：

• 它通过耳机/扬声器随机播放低沉的声音循环
• 我好几个星期都没有听到这种低沉的声音，但后来又回来了
• 断开与互联网的连接并将声音静音并不能阻止它
• 据我所知，这个病毒只会惹恼我，因为我的系统运行正常

什么对摆脱病毒没有帮助：

• 我在 Windows 8.1 上运行了 50 多种（是的，真的）不同的防病毒/恶意软件/间谍机器人/扫描仪/rootkit——无论是在安全模式还是其他模式下，完全是在浪费时间
• 我在 Ubuntu 14.04 中运行 clamav/tk，同样，大多数防病毒软件/新手/等都无法检测到此病毒
• 刷新 Windows 8 功能：这不会删除 sys32 文件夹，而是删除所有程序
• 从 Windows 恢复分区恢复出厂设置：做了 2 次...让人相信恢复分区也被感染了
• 在不同的分区上安装 Ubuntu 14.04：病毒似乎已经转移，现在我在 Ubuntu 中也听到了低沉的声音

有什么建议在这里做什么吗？我没有 Windows 8 安装 CD，但我即将擦除并重新格式化整个高清并再次安装 Ubuntu。遗憾的是，我仍然需要 Windows，因此可能需要支付一张新的 Windows 8 CD（尽管这台电脑上有 Windows 8，另一台电脑上有 Windows 7！）。

我正在阅读一些关于 rootkit 和用于删除它们的工具的文本。

我有 Ubuntu 12.04.1，rkhunter 报告了各种警告。我想知道那些是什么。顺便说一句，我只安装原始软件，除了软件中心报告为坏文件的 avast4workstation 之外没有可疑程序（因为它没有说明它将使用多少磁盘空间）

那么，仅将 Ubuntu 与原始文件和一些音乐下载一起使用，有什么风险？如何安装 rootkit？

编辑：我刚刚安装并更新了 Ubuntu，没有安装任何软件（除了猎人）。

我收到的警告 rkhunter

/usr/bin/unhide.rb [ Warning ]  
Checking for hidden files and directories [ Warning ] 

今天，我chkrootkit通过运行以下工具使用该工具扫描了我的机器：

sudo chkrootkit

这是一些输出：

检查 `lkm'... 你有
2 个进程隐藏用于 readdir 命令 你有 2 个进程隐藏用于 ps 命令 chkproc：警告：可能安装了 LKM 木马 chkdirs：没有检测到

这有什么可担心的吗？如果是这样，我该如何补救？

我正在运行 Ubuntu 14.10 和chkrootkit0.49 版。

除了标准的安全“最佳实践”（例如拥有良好的防火墙、强大的管理员密码、确保最新的安全补丁和提高路由器安全性）之外，还有什么更具体的方法可以帮助（特别是）通过 Ubuntu 防止 BIOS rootkit？