Когда я делаю rkhunter --check
это показывает мне, что у меня есть возможные руткиты:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: unexpected operator /usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: unexpected operator /usr/bin/rkhunter: 14795: [: /usr/bin/konsole: unexpected operator Checking for suspicious (large) shared memory segments [ Warning ]
/var/log/rkhunter.log
покажите мне это:
Warning: The following suspicious (large) shared memory segments have been found: [21:17:06] Process: /usr/lib/firefox/firefox (deleted) PID: 9750 Owner: louie Size: 4,0MB (configured size allowed: 1,0MB) [21:17:07] Process: /usr/lib/firefox/firefox (deleted) PID: 9750 Owner: louie Size: 4,0MB (configured size allowed: 1,0MB) [21:17:07] Process: /usr/bin/konsole (deleted) PID: 11415 Owner: louie Size: 1,7MB (configured size allowed: 1,0MB)
Альтернатива chkrootkit
только показывает мне заражение: "tcpd", который я считал в нескольких местах, является положительной ложью.
Может rkhunter
также покажите ложные положительные стороны?
Несомненно, на первом показе rkhunter
шоу много ложных положительных сторон и Firefox является одним из обычно известный. Это может быть проигнорировано в /etc/rkhunter.conf
файл путем некомментария уже показанного примера
ALLOWIPCPROC=/usr/bin/firefox
вокруг существуют некоторые другие известные ложные положительные стороны, но я не мог найти объяснение, как узнать, если процесс, как известно, использует памяти большой емкости.
я надеюсь, что получу ответ здесь скоро: https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments
см. также: https://serverfault.com/a/937301/128892