как проверить, что sbin/init не заражен?
для когда-то chkrootkit показывал sbin/init, как заражаемый руткитом SuckIt. в начале этого года, когда предупреждение сначала появилось, быстрый поиск Google указал, что это было наиболее вероятно положительная ложь.
Я сделал проверку снова сегодня, и снова chkrootkit говорит, что sbin/init заражен.
Несколько статей предположили, что можно было проверить sbin/init с об/мин.
я установил об/мин и попробовал команду:
об/мин - QF/sbin/init
и это возвратилось:
файл/sbin/init не принадлежит никакому пакету
я также считал где-нибудь, что/sbin/init, как предполагается, является syslink (хотя это было для другого дистрибутива), и в моей системе/sbin/init, кажется, исполняемый файл.
команда,
ls-l/sbin/init
возвращает следующее:
- корень rwxr-xr-x 2 базируется 252080 18 июля 15:18/sbin/init
есть ли так или иначе, я мог проверить, что/sbin/init не был действительно заражен?
Я выполняю ubuntu 14.04 LTS на своем ноутбуке (не соединенный на LAN)
спасибо.
Править:
я установил и выполнил rkhunter
его проверка по сравнению с руткитом "SuckIt" была отрицательна, однако он позже сообщил:
Выполнение дополнительных проверок руткита Suckit Rookit дополнительные проверки [Предупреждение]
и,
Checking the local host...
Performing system boot checks
**Checking for local host name [ Found ]
Checking for system startup files [ Found ]**
Checking system startup files for malware [ None found ]
Performing group and account checks
**Checking for passwd file [ Found ]**
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
**Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]**
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
Rootkit checks...
Rootkits checked : 292
Possible rootkits: 1
Rootkit names : Suckit Rookit (additional checks)
Я должен быть взволнован?
ОБНОВЛЕНИЕ: после рассмотрения rkhunter регистрируются, я узнал, что причина, которую это предостерегало от возможного suckit заражения, состояла в том, потому что была больше чем одна жесткая ссылка на/sbin/init, который был моим собственным выполнением. после удаления дополнительной жесткой ссылки rkhunter сообщает о чистой системе.
так в основном это - просто chkrootkit создание отчетов о заражении Suckit, которое является возможной положительной ложью.
2 ответа
Можно проверить целостность/sbin/init путем установки "debsums" пакета и выполнения debsums -c.
Это проверит все файлы в системе и скажет Вам, если они были изменены, так как они были установлены из их .deb файлов (если они прибыли из .deb файлов).
, Если это возвращается, не сообщая ни о каких изменениях,/sbin/init не был изменен.
, Если Вы хотите проверить конкретный пакет конкретно, не исследуя целую систему (который генерирует много ввода-вывода и может занять время), можно узнать, какой пакет это находится в использовании dpkg -S /path/to/filename, например:
# dpkg -S /sbin/init
upstart: /sbin/init
Это говорит Вам, что файл был установлен "новомодным" пакетом (на 14,04, по крайней мере).
можно затем использовать dpkg --verify upstart, и это скажет Вам, если какие-либо файлы были изменены от основной выскочки .deb.
clamav, вероятно, обнаружит этот вирус?, не знайте, как убрать файлы все же. Вероятно, необходимо запустить сессию восстановления, смонтировать живой CD вручную. Скопируйте init от CD на Ваш жесткий диск.