Недавно, я стал очень подозрительным, что кто-то оценил мою систему. Я чувствую, что вкладки будут иногда изменяться. Например, я делаю что-то на хроме, и внезапно он показывает оперный экран (даже при том, что они оба работают, я никогда не нажимал оперный экран), и материал как этот.
Таким образом, я загрузил rkhunter, сделал тест путем выполнения sudo rkhunter -c --enable all --disable none
Мой вывод ниже. Все те поддельные предупреждения или есть ли на самом деле что-то, по поводу чего я должен быть взволнован?
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: The following processes are using deleted files:
Process: /sbin/upstart PID: 1394 File: /home/qwerty/.cache/upstart/window-stack-bridge.log.1
Process: /usr/bin/nautilus PID: 1806 File: /home/qwerty/.local/share/gvfs-metadata/home
Process: /opt/google/chrome/chrome PID: 2001 File: /dev/shm/.com.google.Chrome.bsY3ZP
Process: /bin/cat PID: 2007 File: /dev/pts/7
Process: /bin/cat PID: 2008 File: /dev/pts/7
Process: /opt/google/chrome/chrome PID: 2147 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 2220 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 2222 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 2682 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 2992 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 3491 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /usr/lib/firefox/firefox PID: 3626 File: /dev/pts/7
Process: /opt/google/chrome/chrome PID: 3760 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /usr/lib/firefox/firefox PID: 3824 File: /dev/pts/7
Process: /opt/google/chrome/chrome PID: 4057 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /usr/bin/unity-scope-loader PID: 4331 File: /tmp/tmpfHAIWlu
Process: /usr/share/discord/Discord PID: 5634 File: /dev/shm/.org.chromium.Chromium.k92K46
Process: /usr/share/discord/Discord PID: 5687 File: /dev/shm/.org.chromium.Chromium.k92K46
Process: /usr/share/discord/Discord PID: 5712 File: /dev/shm/.org.chromium.Chromium.5ZDa2W
Process: /opt/google/chrome/chrome PID: 6182 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 7917 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 24709 File: /dev/shm/.com.google.Chrome.rKGMNn
Process: /opt/google/chrome/chrome PID: 28812 File: /dev/shm/.com.google.Chrome.rKGMNn
Warning: File '/tmp/.org.chromium.Chromium.mEHtjR' (score: 274) contains some suspicious content and should be checked.
Warning: Checking for files with suspicious contents [ Warning ]
Warning: Process '/sbin/dhclient' (PID 1036) is listening on the network.
Warning: Suspicious file types found in /dev:
/dev/shm/pulse-shm-1350328584: data
/dev/shm/pulse-shm-731875246: data
/dev/shm/pulse-shm-2797972517: data
/dev/shm/pulse-shm-2509473639: data
/dev/shm/pulse-shm-477054089: data
/dev/shm/pulse-shm-934396546: data
/dev/shm/pulse-shm-2102280203: data
/dev/shm/pulse-shm-3302084726: data
/dev/shm/pulse-shm-528687106: data
/dev/shm/pulse-shm-3145487857: data
/dev/shm/pulse-shm-1815311782: data
/dev/shm/pulse-shm-2150163244: data
/dev/shm/pulse-shm-3711979297: data
/dev/shm/pulse-shm-194223215: data
/dev/shm/pulse-shm-2010166027: data
После быстрого обзора Вашего вывода, а также rkhunter практическое руководство единственной вещью, которая дала бы мне любое беспокойство в Вашем выводе, является "Файл '/tmp/.org.chromium. Chromium.mEHtjR' (счет: 274), содержит некоторое подозрительное содержание и должен быть проверен". Поскольку это находится в Вашей/tmp папке, вероятно, что за этим следовали бы перезагрузка, но не повредит проверять снова. Это - мое понимание, что необходимо сделать sudo rkhunter --propupd
сначала для обновления базы данных свойств файла (это должно быть сделано каждый раз, когда новое программное обеспечение установлено), Посмотрите практическое руководство для деталей.
sudo rkhunter --versioncheck
скажет Вам, если будет более новая версия, доступная, чем та, которую Вы используете.
подозрительные типы файлов в/dev/shm, кажется, нормальные pulseaudio файлы, но появления могут обманывать так, я не делаю гарантий.
Вы могли бы хотеть подписаться на список рассылки Охотников за Руткитом , который является хорошим источником информации о ложных положительных сторонах.
Источники:
https://help.ubuntu.com/community/RKhunter
man rkhunter