chkrootkit обнаружены подозрительные файлы и каталог
Я включил ПК и не понял, что у него нет компакт-диска Ubuntu, поэтому он попытался загрузить в Windows. Когда я вернулся к нему, я понял, что он начал запускать chkdsk, потому что, прежде чем я не смог загрузиться в безопасный режим, я планировал запустить chkdsk. После его завершения раздел Vista больше не имел восклицательного знака рядом с ним, и я могу его сжать. В настоящее время он сокращается, и на некоторое время он находится на стадии real resize, но, по-видимому, это нормально, если это занимает много времени. (Дополнительная информация: Я отменил его, потому что я не думал, что что-то происходит, но это испортило раздел. Почему-то chkdsk был запланирован снова, поэтому я смог изменить его размер еще раз. На этот раз я не буду отменять его. )
Итак, если у кого-то еще есть эта проблема, запустите chkdsk /r в безопасном режиме с помощью командной строки или консоль восстановления, если она у вас (я этого не делаю).
4 ответа
build-id
Нет, это не вирус! :) Не удаляйте его, это может быть системная папка. Надеюсь, что это помогло!
Являются ли эти файлы / каталоги связанными с программным пакетом (или несколькими пакетами программного обеспечения)?
for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
/bin/ls -ld $thing
/usr/bin/dpkg -S $thing
done
YMMV, но на MY Ubuntu 16.04.3LTS это показывает:
$ for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
> /bin/ls -ld $thing
> /usr/bin/dpkg -S $thing
> done
drwxr-xr-x 229 root root 4096 Aug 14 17:54 /usr/lib/debug/.build-id
python-bzrlib-dbg, tclcl-dbg, python2.7-dbg, libfltk1.3-dbg, graphicsmagick-dbg, python3-tk-dbg, python3-gdbm-dbg:amd64, libglib2.0-0-dbg:amd64, libkf5wallet5-dbg:amd64, libtk8.6-dbg:amd64, libtcl8.6-dbg:amd64, libc6-dbg:amd64, atanks-dbg, ballz-dbg, lyx-dbg, liblqr-1-0-dbg, ntfs-3g-dbg, python3.5-dbg, evolution-dbg, freeglut3-dbg:amd64, libgd-dbg:amd64, libgdk-pixbuf2.0-0-dbg:amd64: /usr/lib/debug/.build-id
drwxr-xr-x 5 root root 4096 Aug 28 18:31 /lib/modules/4.4.0-93-generic/vdso/.build-id
linux-image-4.4.0-93-generic: /lib/modules/4.4.0-93-generic/vdso/.build-id
drwxr-xr-x 5 root root 4096 Aug 15 19:30 /lib/modules/4.4.0-92-generic/vdso/.build-id
linux-image-4.4.0-92-generic: /lib/modules/4.4.0-92-generic/vdso/.build-id
/bin/ls: cannot access '/lib/modules/4.4.0-91-generic/vdso/.build-id': No such file or directory
dpkg-query: no path found matching pattern /lib/modules/4.4.0-91-generic/vdso/.build-id
У меня нет linux-image-4.4.0-91-generic.
Это результат False Positive из chkrootkit и показывает сложность с любым расфасованным набором «Am I root?». тесты. Хотя тесты, возможно, были прекрасны во время упаковки, они отстают от изменений в проверяемой среде. Учитывая высокую вероятность ложных положительных результатов, этот тип инструмента следует ТОЛЬКО использовать в качестве первого шага, триггера для дальнейшего исследования. Понимание должно прийти к действию.
build-id
Нет, это не вирус! :) Не удаляйте его, это может быть системная папка. Надеюсь, что это помогло!
Являются ли эти файлы / каталоги связанными с программным пакетом (или несколькими пакетами программного обеспечения)?
for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
/bin/ls -ld $thing
/usr/bin/dpkg -S $thing
done
YMMV, но на MY Ubuntu 16.04.3LTS это показывает:
$ for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
> /bin/ls -ld $thing
> /usr/bin/dpkg -S $thing
> done
drwxr-xr-x 229 root root 4096 Aug 14 17:54 /usr/lib/debug/.build-id
python-bzrlib-dbg, tclcl-dbg, python2.7-dbg, libfltk1.3-dbg, graphicsmagick-dbg, python3-tk-dbg, python3-gdbm-dbg:amd64, libglib2.0-0-dbg:amd64, libkf5wallet5-dbg:amd64, libtk8.6-dbg:amd64, libtcl8.6-dbg:amd64, libc6-dbg:amd64, atanks-dbg, ballz-dbg, lyx-dbg, liblqr-1-0-dbg, ntfs-3g-dbg, python3.5-dbg, evolution-dbg, freeglut3-dbg:amd64, libgd-dbg:amd64, libgdk-pixbuf2.0-0-dbg:amd64: /usr/lib/debug/.build-id
drwxr-xr-x 5 root root 4096 Aug 28 18:31 /lib/modules/4.4.0-93-generic/vdso/.build-id
linux-image-4.4.0-93-generic: /lib/modules/4.4.0-93-generic/vdso/.build-id
drwxr-xr-x 5 root root 4096 Aug 15 19:30 /lib/modules/4.4.0-92-generic/vdso/.build-id
linux-image-4.4.0-92-generic: /lib/modules/4.4.0-92-generic/vdso/.build-id
/bin/ls: cannot access '/lib/modules/4.4.0-91-generic/vdso/.build-id': No such file or directory
dpkg-query: no path found matching pattern /lib/modules/4.4.0-91-generic/vdso/.build-id
У меня нет linux-image-4.4.0-91-generic.
Это результат False Positive из chkrootkit и показывает сложность с любым расфасованным набором «Am I root?». тесты. Хотя тесты, возможно, были прекрасны во время упаковки, они отстают от изменений в проверяемой среде. Учитывая высокую вероятность ложных положительных результатов, этот тип инструмента следует ТОЛЬКО использовать в качестве первого шага, триггера для дальнейшего исследования. Понимание должно прийти к действию.