web-dev-qa-db-fra.com

chkrootkit affiche "tcpd" comme INFECTED. Est-ce un faux positif?

L'analyse par chkrootkit indique que "tcpd" est INFECTED. Bien qu'une analyse par rkhunter montre ok, (sauf pour les faux positifs réguliers)

Dois-je m'inquiéter? (Je suis sur Ubuntu 16.10 avec 4.8.0-37-generic)

securitymalwarerootkittcpdumpchkrootkit
25
mariner

Dans cette publication sur les forums Ubunt , l'utilisateur kpatz a testé cela dans une nouvelle version de 16,10 VM et chkrootkit s'est toujours plaint, ce qui en fait un faux positif. Vous pouvez toujours vérifier si un fichier a été falsifié en comparant le md5sum du paquet:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Bien sûr, le fichier md5sums lui-même peut être falsifié (tout comme md5sum lui-même et ainsi de suite ...).

36
muru

C'est un faux positif causé par un bogue dans le script principal de chkrootkit. J'ai essayé de poster le correctif ici, mais j'ai été voté. J'ai signalé le problème aux développeurs de chkrootkit, mais si vous souhaitez résoudre le problème afin qu'il fonctionne réellement, vous pouvez consulter: https://www.linuxquestions.org/questions/linux- security-4/chkrootkit-tcpd-521683/page2.html # post57887

7
user760856

Le mien était aussi listé comme "INFECTED" (Ubuntu 18.10) ... donc j'ai vérifié tcpd en utilisant l'utilitaire debsums c'est-à-dire:

Sudo debsums | grep tcpd

C'était indiqué comme "OK".

0
Jay Marm

Vous pouvez essayer de les télécharger sur des sites à des fins de test comme virustotal et je pense que BitDefender dispose d’un programme d’analyseur de rootkit d’une minute disponible (sans certitude quant au support multi-OS).

Si vous avez un rootkit, il n’ya aucun moyen de savoir s’il s’agit d’un faux positif sans une documentation solide comme indiqué ci-dessus, étant donné qu’un programme malveillant doté d’un accès root peut se cacher. Vous semblez être concerné ou si vous suivez juste la syntaxe de CAPS LOCKS, mais à l'avenir, je recommanderais le stockage et la sauvegarde de fichiers essentiels (via un nuage ou un externe que vous devez prendre soin de ne pas infecter de manière croisée), tels que des bases de données. , photos de famille, travail, vidéos peu recommandables, etc.

vérifiez la somme md5 pour les incohérences pour les fichiers indésirables. Ce qui est principalement tout ce qui peut être donné un accès root ou la distribution elle-même. Et si vous exécutez une nouvelle installation ou si vous n’en avez pas l’impression, vous pouvez toujours l’essuyer et la vérifier une fois de plus.

Modification rapide: BitDefender n’offre en réalité aucune assistance pour Windows. Sidenote, tous les programmes antivirus datamining vous et votre utilisation d'Internet. Open Source ftw.

tl; dr sur la nature insidieuse des rootkits et avec quelle facilité ils se propagent.

0
avisitoritseems