我有rootkit吗? 在/ sbin / init和chkutmp错误中检测到suckit
刚刚在最近安装的14.04 lubuntu上运行了chkrootkit,它提出了:
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /lib/modules/3.16.0-30-generic/vdso/.build-id /lib/modules/3.16.0-31-generic/vdso/.build-id /lib/modules/3.16.0-30-generic/vdso/.build-id /lib/modules/3.16.0-31-generic/vdso/.build-id Searching for Romanian rootkit... nothing found Searching for Suckit rootkit... Warning: /sbin/init INFECTED Checking `chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 1204 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch chkutmp: nothing deleted Checking `OSX_RSPLUG'... not infected 你可以看到有一些exception现象; 那些可疑文件和目录是什么? / sbin / init中的病毒? chkutmp? 我在其他机器上没有得到任何结果……所以我尝试了rkhunter,我发布了整个日志文件,但它的字符太多了,post限制为30000
[12:14:00] /usr/bin/unhide.rb [ Warning ] [12:14:00] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text [12:15:19] System checks summary [12:15:19] ===================== [12:15:19] [12:15:19] File properties checks... [12:15:19] Files checked: 134 [12:15:19] Suspect files: 1 [12:15:19] [12:15:19] Rootkit checks... [12:15:19] Rootkits checked : 291 [12:15:19] Possible rootkits: 0 [12:15:19] [12:15:19] Applications checks... [12:15:19] All checks skipped [12:15:19] [12:15:19] The system checks took: 1 minute and 38 seconds [12:15:19] [12:15:19] Info: End date is Mon Mar 16 12:15:19 GMT 2015
rkhunter似乎没有表示suckit,那么来自chkrootkit的误报是什么? 或来自rkhunter的假阴性? 那些其他的警告怎么样,谁能给我任何关于他们的意思的见解? 我搜索了一些exception结果,但找不到任何东西……这通常是一个不好的迹象。
所以,我有rootkit吗?如果有,我如何删除它并修复任何损坏?
chkrootkit没有使用“Suckit rootkit”对其他文件进行全面检查,因此如果rkhunter没有检测到有问题的机器上存在Suckit rootkit,这几乎肯定是假阳性,因为rkhunter会对这些额外的检查进行额外检查当它被Suckit rootkit感染时将出现在系统上的文件。
阅读本文以获取有关chkrootkit检测Suckit Rootkit在系统中的存在的更多信息,实际上它不存在于系统中: https ://askubuntu.com/a/25179/364819