Packet Sniffer发现,下一步是什么?
昨天下载后,我的计算机崩溃了。 我今天更新并检查了rootkit。 我发现了一个数据包嗅探器
eth0: PACKET SNIFFER(/sbin/dhclient[3966])
我该如何删除?
我认为这可能是误报。 尝试使用rkhunter进行检查,因为它可以减少误报。 要下载rkhunter ,有关如何使用它的更多详细信息, 请参阅此站点
如果它变得干净,那么你有理由担心。
试试这个:
-
rkhunter --check
-
update
-
sudo rkhunter --propupd
-
rkhunter --check
来源: Rootkit Hunter项目
Dhclient是Ubuntu的标准“动态主机配置协议客户端”,当您没有固定IP但仍希望可以从Internet访问时,它是必需的。
如果您担心,您应该检查dhclient.conf中是否有不需要的条目。
isc-dhcp-client
和isc-dhcp-server
软件包(DHCP客户端和服务器)定期重新运行其守护程序,并导致“数据包嗅探器”误报。 chkrootkit
软件包的/etc/cron.daily/chkrootkit
脚本有一个解决方法,它尝试用静态字符串替换PID。
但是,误报的解决方法不起作用。 这是因为在Debian中,来自这些包的二进制文件过去以版本号结尾,例如/sbin/dhclient3
。 但chkrootkit
软件包维护者从未更新/etc/cron.daily/chkrootkit
以使用版本4系列的isc-dhcp-client
和isc-dhcp-server
软件包,其文件没有版本号。
要解决此问题,请制作/etc/cron.daily/chkrootkit
的备份副本,然后对其进行编辑并更改…
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \
…至…
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \
小心将反斜杠留在行尾。