Вопросы Теги

Не может понять результат chkrootkit

Первое место для взгляда является списком пакета распределения. Это - то, где Вы найдете самые легкие к установке программы. Некоторые инструменты управления пакета обеспечивают усовершенствованные способы искать его.

  • На Debian и находящихся в Debian дистрибутивах (например, Ubuntu), можно искать описания пакета с apt-cache search или aptitude search (на командной строке), или через поисковое средство в интерактивных диспетчерах пакетов, таких как Способность и Синаптический. Существует также больше структурированной информации в форме тегов: установите debtags пакет, и делает основные запросы с debtags управляйте или просмотрите базу данных тега в Способности. Теги являются хорошим способом найти, что пакеты работают с конкретным форматом файла, например.

  • На Red Hat и других дистрибутивах с помощью конфетки (например, CentOS, Fedora), можно искать описания пакета с yum search (на командной строке).

Если пакет не находится в Вашем распределении, это могло бы быть доступно из неофициального источника. Попробуйте поиск пакетов Linux, который индексирует несколько официальных и неофициальных источников пакетов Linux. Для Ubuntu ищите пакет в PPA.

Если Ваше распределение ничего не имеет, можно также посмотреть в базе данных пакета другого распределения. Дистрибутивами в качестве примера с большой базой данных пакета является Debian, Fedora, FreeBSD, Ubuntu.

2
16.04.2011, 19:41
2 ответа

.*.hmac файлы являются файлами подписи для некоторого криптографического программного обеспечения, созданного fipscheck. Их присутствие не подозрительно вообще. Они, кажется, распространенный ложь положительные стороны от chkrootkit на Fedora.

Что касается firefox-3.6/.autoreg файл, который является нормальной частью Firefox, Вы - нет сначала, чтобы видеть, что chkrootkit жалуется на это.

Несуществующее /proc/2980/fd/129 вероятно, потому что процесс 2980 закрыл файл (или даже вышел), просто, в то время как chkrootkit достигал его.

Вы получили бы больше информации без -q.

Возможности состоят в том, что это ложные положительные стороны. С другой стороны, взломщик, знающий chkrootkit, мог бы сознательно привить ее вредоносное программное обеспечение в одной из этих известных общих ложных положительных сторон. На держащей руке работая chkrootkit из системы Вы проверяете, в значительной степени бесполезно: правильно написанное вредоносное программное обеспечение взломало бы ядро и расположило бы заставить все выглядеть нормальным к chkrootkit и другому проникновению или вредоносным инструментам обнаружения.

2
27.01.2020, 22:07
  • 1
    я нашел forums.fedoraforum.org/archive/index.php/t-243765.html и сделал rpm -qf во все те файлы, упомянутые в выводе chkrootkit. И они все принадлежат некоторым или другому пакету. Спасибо все же. Ссылки, на которые указывают, были действительно полезны. –  Dharmit 16.04.2011, 20:46
  • 2
    @Dharmit: файлы законны, но их содержание не могло бы быть. Chkrootkit предупреждает Вас об их содержании. Однако, так как это общие ложные положительные стороны, и chkrootkit не нашел бы большую часть подлинного вредоносного программного обеспечения так или иначе, я не буду волноваться об этом. –  Gilles 'SO- stop being evil' 16.04.2011, 20:57

"Никакой такой файл" ошибка просто не означает, что это ожидало находить что-то, и не мог. В этом случае был рабочий системный процесс, но когда он пошел для проверки proc записей относительно него, они не были там. Это могло означать, что процесс скрыт и быть плохим, или это могло просто означать, что это естественно остановилось, прежде чем это нашло время для того, чтобы быть посмотревшимся на.

Другие файлы являются файлами в Вашей системе, которую chkrootkit считает подозрительным и должен быть изучен. [редактирование:] В этом случае они - главным образом файлы библиотеки, которые запускаются с точки, но также и имеют дополнительное расширение. Вы поиск, что эти файлы и узнают, куда они произошли из.

1
27.01.2020, 22:07
  • 1
    Они не файлы библиотеки, они .*.hmac, который заставляет меня думать, что они - файлы подписи, вероятно, часть некоторого пакета обнаружения проникновения. –  Gilles 'SO- stop being evil' 16.04.2011, 20:12
  • 2
    Таким образом, что я сделаю с теми файлами? Буду я rm -f их? Или я буду использовать ClamAV? –  Dharmit 16.04.2011, 20:27
  • 3
    Первая фигура, что они и куда они произошли из. Если, поскольку @Gilles предполагает, что они произошли из системы обнаружения проникновения (Вы выполняете тот?) Вы не хотите портить это путем удаления, это - данные. Сначала изучите то, что они и как они добрались там, затем решите, что сделать с ними. –  Caleb 16.04.2011, 20:31
  • 4
    @Dharmit: Сначала попробуйте rpm -qf /usr/lib/.libssl.so.10.hmac. @both: но так или иначе они от fipscheck, видят мой ответ. –  Gilles 'SO- stop being evil' 16.04.2011, 20:38

Теги

Похожие вопросы