Rkhunter показывает 5 возможных руткитов
Rkhunter показывает 5 руткитов
System checks summary
File properties checks...
Files checked: 149
Suspect files: 0
Rootkit checks...
Rootkits checked : 480
Possible rootkits: 5
Applications checks...
All checks skipped
Info: Starting test name 'ipc_shared_mem'
[11:13:02] Info: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
[11:13:02] Checking for suspicious (large) shared memory segments [ Warning ]
[11:13:02] Warning: The following suspicious (large) shared memory segments have been found:
[11:13:02] Process: /usr/bin/mousepad PID: 1533 Owner: abigael Size: 4,0MB (configured size allowed: 1,0MB)
[11:13:02] Process: /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1 PID: 1159 Owner: abigael Size: 4,0MB (configured size allowed: 1,0MB)
[11:13:02] Process: /usr/lib/firefox/firefox PID: 29723 Owner: abigael Size: 2,4MB (configured size allowed: 1,0MB)
[11:13:02] Process: /usr/lib/firefox/firefox PID: 29723 Owner: abigael Size: 2,4MB (configured size allowed: 1,0MB)
[11:13:02] Process: /usr/bin/xfce4-terminal PID: 30209 Owner: abigael Size: 4,0MB (configured size allowed: 1,0MB)
Положительная ложь или нет?
1 ответ
Информация: минимальный размер сегмента общей памяти, который будет проверен (в байтах): 1048576 (1,0 МБ)
и
настроенный размер позволил: 1,0 МБ
произвольны. Кто решил, что 1 МБ позволяется? Кажется мне, они предполагают здесь.
сегменты Памяти большой емкости могут быть белые перечисленный в /etc/rkhunter.conf, таким образом, можно подавить это сообщение, если Вы хотите; что мне также указывает, что они знают об этом являющийся положительной ложью. Почему потребность к белому списку это? Это признает, что они не могут проверить существует руткит.
И Firefox и xfce4-терминал я принял бы для необходимости больше чем в 1 МБ. Другие 2... никаких идеи, если 4 МБ то, в чем они нуждаются. 4 МБ не много так, возможно.
я рассмотрел бы что-либо, что rkhunter говорит Вам быть ложью, положительной, если Вы не можете ударить его с доказательством из другого источника. Всегда используйте ДВА детектора и соответствуйте их результатам. Если бы оба требуют той же проблемы, я начал бы волноваться.