Первое место для взгляда является списком пакета распределения. Это - то, где Вы найдете самые легкие к установке программы. Некоторые инструменты управления пакета обеспечивают усовершенствованные способы искать его.
На Debian и находящихся в Debian дистрибутивах (например, Ubuntu), можно искать описания пакета с apt-cache search
или aptitude search
(на командной строке), или через поисковое средство в интерактивных диспетчерах пакетов, таких как Способность и Синаптический. Существует также больше структурированной информации в форме тегов: установите debtags
пакет, и делает основные запросы с debtags
управляйте или просмотрите базу данных тега в Способности. Теги являются хорошим способом найти, что пакеты работают с конкретным форматом файла, например.
На Red Hat и других дистрибутивах с помощью конфетки (например, CentOS, Fedora), можно искать описания пакета с yum search
(на командной строке).
Если пакет не находится в Вашем распределении, это могло бы быть доступно из неофициального источника. Попробуйте поиск пакетов Linux, который индексирует несколько официальных и неофициальных источников пакетов Linux. Для Ubuntu ищите пакет в PPA.
Если Ваше распределение ничего не имеет, можно также посмотреть в базе данных пакета другого распределения. Дистрибутивами в качестве примера с большой базой данных пакета является Debian, Fedora, FreeBSD, Ubuntu.
.*.hmac
файлы являются файлами подписи для некоторого криптографического программного обеспечения, созданного fipscheck. Их присутствие не подозрительно вообще. Они, кажется, распространенный ложь положительные стороны от chkrootkit на Fedora.
Что касается firefox-3.6/.autoreg
файл, который является нормальной частью Firefox, Вы - нет сначала, чтобы видеть, что chkrootkit жалуется на это.
Несуществующее /proc/2980/fd/129
вероятно, потому что процесс 2980 закрыл файл (или даже вышел), просто, в то время как chkrootkit достигал его.
Вы получили бы больше информации без -q
.
Возможности состоят в том, что это ложные положительные стороны. С другой стороны, взломщик, знающий chkrootkit, мог бы сознательно привить ее вредоносное программное обеспечение в одной из этих известных общих ложных положительных сторон. На держащей руке работая chkrootkit из системы Вы проверяете, в значительной степени бесполезно: правильно написанное вредоносное программное обеспечение взломало бы ядро и расположило бы заставить все выглядеть нормальным к chkrootkit и другому проникновению или вредоносным инструментам обнаружения.
"Никакой такой файл" ошибка просто не означает, что это ожидало находить что-то, и не мог. В этом случае был рабочий системный процесс, но когда он пошел для проверки proc записей относительно него, они не были там. Это могло означать, что процесс скрыт и быть плохим, или это могло просто означать, что это естественно остановилось, прежде чем это нашло время для того, чтобы быть посмотревшимся на.
Другие файлы являются файлами в Вашей системе, которую chkrootkit считает подозрительным и должен быть изучен. [редактирование:] В этом случае они - главным образом файлы библиотеки, которые запускаются с точки, но также и имеют дополнительное расширение. Вы поиск, что эти файлы и узнают, куда они произошли из.
.*.hmac
, который заставляет меня думать, что они - файлы подписи, вероятно, часть некоторого пакета обнаружения проникновения.
– Gilles 'SO- stop being evil'
16.04.2011, 20:12
rm -f
их? Или я буду использовать ClamAV?
– Dharmit
16.04.2011, 20:27
rpm -qf /usr/lib/.libssl.so.10.hmac
. @both: но так или иначе они от fipscheck, видят мой ответ.
– Gilles 'SO- stop being evil'
16.04.2011, 20:38
rpm -qf
во все те файлы, упомянутые в выводе chkrootkit. И они все принадлежат некоторым или другому пакету. Спасибо все же. Ссылки, на которые указывают, были действительно полезны. – Dharmit 16.04.2011, 20:46