chrootkit подозрительные файлы и каталог обнаруживается

Question 1

Я сделал сканирование chrootkit. И это нашло что-то, это не говорит что любые рекомендации относительно обнаружения файлов или каталогов. Какие-либо предложения?

результаты:

The following suspicious files and directories were found:  

/usr/lib/debug/.build-id 
/lib/modules/4.4.0-93-generic/vdso/.build-id 
/lib/modules/4.4.0-92-generic/vdso/.build-id 
/lib/modules/4.4.0-91-generic/vdso/.build-id

Question 2

Связаны ли эти файлы / каталоги с программным пакетом (или несколькими программными пакетами)?

for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
    /bin/ls -ld $thing
    /usr/bin/dpkg -S $thing
done

YMMV, но в MY Ubuntu 16.04.3LTS , это показывает:

$ for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
>     /bin/ls -ld $thing
>     /usr/bin/dpkg -S $thing
> done
drwxr-xr-x 229 root root 4096 Aug 14 17:54 /usr/lib/debug/.build-id
python-bzrlib-dbg, tclcl-dbg, python2.7-dbg, libfltk1.3-dbg, graphicsmagick-dbg, python3-tk-dbg, python3-gdbm-dbg:amd64, libglib2.0-0-dbg:amd64, libkf5wallet5-dbg:amd64, libtk8.6-dbg:amd64, libtcl8.6-dbg:amd64, libc6-dbg:amd64, atanks-dbg, ballz-dbg, lyx-dbg, liblqr-1-0-dbg, ntfs-3g-dbg, python3.5-dbg, evolution-dbg, freeglut3-dbg:amd64, libgd-dbg:amd64, libgdk-pixbuf2.0-0-dbg:amd64: /usr/lib/debug/.build-id
drwxr-xr-x 5 root root 4096 Aug 28 18:31 /lib/modules/4.4.0-93-generic/vdso/.build-id
linux-image-4.4.0-93-generic: /lib/modules/4.4.0-93-generic/vdso/.build-id
drwxr-xr-x 5 root root 4096 Aug 15 19:30 /lib/modules/4.4.0-92-generic/vdso/.build-id
linux-image-4.4.0-92-generic: /lib/modules/4.4.0-92-generic/vdso/.build-id
/bin/ls: cannot access '/lib/modules/4.4.0-91-generic/vdso/.build-id': No such file or directory
dpkg-query: no path found matching pattern /lib/modules/4.4.0-91-generic/vdso/.build-id

У меня не установлено linux-image-4.4.0-91-generic.

Это ложно-положительный результат из chkrootkit, и он показывает трудность с любым предварительно упакованным набором «Я укоренен?» тесты. Хотя тесты могли быть хорошими во время упаковки, они отстают от изменений в проверяемой среде. Учитывая высокую вероятность ложных положительных результатов, этот тип инструмента следует использовать ТОЛЬКО в качестве первого шага, триггера для дальнейшего исследования. Понимание должно предшествовать действию.

Question 3

Question 4

build-id

Нет, это не вирус! :) Не удаляйте его, это может быть системная папка. Надеюсь, что это помогло!

waltinator · Answer 1 · 2 November 2019 в 07:52

Связаны ли эти файлы / каталоги с программным пакетом (или несколькими программными пакетами)?

for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
    /bin/ls -ld $thing
    /usr/bin/dpkg -S $thing
done

YMMV, но в MY Ubuntu 16.04.3LTS , это показывает:

$ for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
>     /bin/ls -ld $thing
>     /usr/bin/dpkg -S $thing
> done
drwxr-xr-x 229 root root 4096 Aug 14 17:54 /usr/lib/debug/.build-id
python-bzrlib-dbg, tclcl-dbg, python2.7-dbg, libfltk1.3-dbg, graphicsmagick-dbg, python3-tk-dbg, python3-gdbm-dbg:amd64, libglib2.0-0-dbg:amd64, libkf5wallet5-dbg:amd64, libtk8.6-dbg:amd64, libtcl8.6-dbg:amd64, libc6-dbg:amd64, atanks-dbg, ballz-dbg, lyx-dbg, liblqr-1-0-dbg, ntfs-3g-dbg, python3.5-dbg, evolution-dbg, freeglut3-dbg:amd64, libgd-dbg:amd64, libgdk-pixbuf2.0-0-dbg:amd64: /usr/lib/debug/.build-id
drwxr-xr-x 5 root root 4096 Aug 28 18:31 /lib/modules/4.4.0-93-generic/vdso/.build-id
linux-image-4.4.0-93-generic: /lib/modules/4.4.0-93-generic/vdso/.build-id
drwxr-xr-x 5 root root 4096 Aug 15 19:30 /lib/modules/4.4.0-92-generic/vdso/.build-id
linux-image-4.4.0-92-generic: /lib/modules/4.4.0-92-generic/vdso/.build-id
/bin/ls: cannot access '/lib/modules/4.4.0-91-generic/vdso/.build-id': No such file or directory
dpkg-query: no path found matching pattern /lib/modules/4.4.0-91-generic/vdso/.build-id

У меня не установлено linux-image-4.4.0-91-generic.

Это ложно-положительный результат из chkrootkit, и он показывает трудность с любым предварительно упакованным набором «Я укоренен?» тесты. Хотя тесты могли быть хорошими во время упаковки, они отстают от изменений в проверяемой среде. Учитывая высокую вероятность ложных положительных результатов, этот тип инструмента следует использовать ТОЛЬКО в качестве первого шага, триггера для дальнейшего исследования. Понимание должно предшествовать действию.

Cubecreeper1 · Answer 2 · 2 November 2019 в 07:52

build-id

Нет, это не вирус! :) Не удаляйте его, это может быть системная папка. Надеюсь, что это помогло!

0

ответ дан Cubecreeper1 2 November 2019 в 07:52

chrootkit подозрительные файлы и каталог обнаруживается

2 ответа

Другие вопросы по тегам:

Похожие вопросы: