O chkrootkit mostra "tcpd" como INFECTED. É um falso positivo?

25

A varredura por chkrootkit mostra "tcpd" como INFECTADO. Embora uma varredura por rkhunter mostre ok, (exceto para falsos positivos regulares)

Devo ficar preocupado? (Estou no Ubuntu 16.10 com 4.8.0-37-generic)

— marinheiro
fonte

2

ubuntuforums.org/showthread.php?t=2346505

— muru

muru, obrigado! Ajudou! ps Como voto na reputação de um usuário? (você neste caso)

— mariner 15/02

Isso foi apenas um comentário. Vou postar uma resposta em um momento, que você pode aceitar, se quiser.

— muru

A varredura direta sudo chkrootkit tcpdretorna infected?

— NaXa

1

O meu surgiu como INFECTADO também e não está instalado.

— Jason

36

Em deste Fórum pós Ubuntu , kpatz usuário testado isso em um fresco 16.10 VM e chkrootkit ainda queixou-se, tornando este um falso positivo. Você sempre pode verificar se um arquivo foi violado comparando o md5sum do pacote:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Obviamente, o próprio arquivo md5sums pode ter sido adulterado (e assim também poderia md5sume assim por diante ...).

— muru
fonte

1

Muru, obrigado por uma resposta tão rápida! Foi realmente útil. (infelizmente, o sistema não me permite votar em sua reputação. Ele diz que ainda não estou autorizado a fazer isso: (((((

— mariner

Ao verificar se algo é malicioso ou não e ao comparar com uma boa versão conhecida, os MD5s são provavelmente os piores hashsums a serem usados devido a colisões.

2

No meu caso, o uso do Ubuntu 18.04 tcpd nem estava instalado e foi relatado como infectado!

— Philippe Delteil

7

Este é um falso positivo causado por um bug no script principal do chkrootkit. Tentei postar a correção aqui, mas tive o voto negativo. Eu relatei o problema para os desenvolvedores do chkrootkit, mas se você deseja corrigir o problema para que ele funcione de verdade, consulte: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733

0

O meu também foi listado como "INFECTADO" (Ubuntu 18.10) ... então eu cruzei o tcpd usando o utilitário debsums, ou seja:

sudo debsums | grep tcpd

Foi listado como "OK".

— Jay Marm
fonte

0

Você pode tentar enviá-los para sites para testes como o virustotal e acredito que o BitDefender tem um programa de scanner de rootkit de um minuto disponível (sem ter certeza do suporte a vários sistemas operacionais).

Se você possui um rootkit, não há como saber se é um falso positivo sem documentação sólida, como foi postado acima, considerando que um programa malicioso com acesso root pode se ocultar. Você parece estar preocupado ou está apenas seguindo a sintaxe do CAPS LOCKS, mas no futuro eu recomendaria fazer o backup e fazer backup de arquivos essenciais (por meio de uma nuvem ou de um externo que você deve tomar cuidado para não infectar), como bancos de dados , fotos de família, trabalho, vídeos desagradáveis etc.

verifique a soma do md5 quanto a inconsistências para o lixo importante. O que é basicamente tudo o que pode ser dado acesso root ou a própria distribuição. E se você estiver executando uma nova instalação ou não se importa de fazer uma, sempre pode limpar e verificar mais uma vez.

Edição rápida: O BitDefender não oferece suporte para nada além do Windows. Sidenote, todos os programas antivírus estão datamining você e seu uso da Internet. Ftw de código aberto.

tl; dr sobre a natureza insidiosa dos rootkits e a facilidade com que eles se propagam.

— avisitoritseems
fonte