Packet Sniffer发现，下一步是什么？

我认为这可能是误报。 尝试使用rkhunter进行检查，因为它可以减少误报。 要下载rkhunter ，有关如何使用它的更多详细信息， 请参阅此站点

如果它变得干净，那么你有理由担心。

试试这个：

1. rkhunter --check

2. update

3. sudo rkhunter --propupd

4. rkhunter --check

^{来源： Rootkit Hunter项目}

Dhclient是Ubuntu的标准“动态主机配置协议客户端”，当您没有固定IP但仍希望可以从Internet访问时，它是必需的。

如果您担心，您应该检查dhclient.conf中是否有不需要的条目。

isc-dhcp-client和isc-dhcp-server软件包（DHCP客户端和服务器）定期重新运行其守护程序，并导致“数据包嗅探器”误报。 chkrootkit软件包的/etc/cron.daily/chkrootkit脚本有一个解决方法，它尝试用静态字符串替换PID。

但是，误报的解决方法不起作用。 这是因为在Debian中，来自这些包的二进制文件过去以版本号结尾，例如/sbin/dhclient3 。 但chkrootkit软件包维护者从未更新/etc/cron.daily/chkrootkit以使用版本4系列的isc-dhcp-client和isc-dhcp-server软件包，其文件没有版本号。

要解决此问题，请制作/etc/cron.daily/chkrootkit的备份副本，然后对其进行编辑并更改…

 sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \ 

…至…

 sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \ 

小心将反斜杠留在行尾。