Что точно/lib/modules/4.4.0-XX-generic/vdso/.build-id
Я сделал поиск руткита с chkrootkit, и он придумал этот странный набор файлов:
/usr/lib/debug/.build-id
/lib/modules/4.4.0-51-generic/vdso/.build-id
/lib/modules/4.4.0-47-generic/vdso/.build-id
/lib/modules/4.4.0-38-generic/vdso/.build-id
/lib/modules/4.4.0-36-generic/vdso/.build-id
/lib/modules/4.4.0-45-generic/vdso/.build-id
/usr/lib/debug/.build-id
/lib/modules/4.4.0-51-generic/vdso/.build-id
/lib/modules/4.4.0-47-generic/vdso/.build-id
/lib/modules/4.4.0-38-generic/vdso/.build-id
/lib/modules/4.4.0-36-generic/vdso/.build-id
/lib/modules/4.4.0-45-generic/vdso/.build-id
Что точно они? Я вполне уверен, что они - все ложные положительные стороны, но я все еще не знаю то, что они и почему они там. Я сделал немного поиска, и похоже, что это изображения ядра, оставленные позади от предыдущих обновлений.
Итак, почему они выделяют положительную ложь и как я избавляюсь от них?
2 ответа
/lib/modules/ каталог для хранения модулей. Следующий бит (с цифрами) является числом ядра, которому принадлежат эти модули.
vdso от имени модуля (это обозначает virtual dynamic shared object). Ваша система делает много "системных вызовов" (как чтение и запись в диск, дайте разрешения, и т.д.), и это поднимает много ресурсов для выполнения каждого из них. Но те вызовы также сделаны много. vdso модуль был создан для помощи улучшению времени, необходимого путем выделения памяти для них.
От Википедия :
vDSO (виртуальный динамично связанный общий объект) является механизмом ядра Linux для экспорта тщательно выбранного набора стандартных программ пространства ядра к приложениям пространства пользователя так, чтобы приложения могли назвать эти стандартные программы пространства ядра незавершенными, не подвергаясь потере производительности контекстного переключения, которое свойственно при вызове этих тех же стандартных программ пространства ядра посредством интерфейса системного вызова.
еще Некоторая информация об этом:
я вполне уверен, что они - все ложные положительные стороны
, Вероятно (как с 99,999999% всех тех уведомлений руткитов ;)), но, вероятно, необходимо сравнить эти файлы с чистой системой и вещами проверки как размер файла, времена последнего изменения, чтобы визуально проверить, является ли это положительной ложью.
<час> Между прочим: /lib/modules/ каталог может стать большим быстро. Безопасно удалить старые ядра (сохраните ток и следующее наименее самое старое только, чтобы удостовериться, что Вы получили резервное копирование). См.: , Как я удаляю старые версии ядра для чистки меню начальной загрузки?
Удаление более старой версии также понижает сумму уведомлений из Вашего руткита ;)
Я видел их при сканировании руткитов тестовой виртуальной машины (ubuntu 18.04 LTS) и удалил их. Никаких заметных побочных эффектов в системе, хотя они, похоже, используются ОС, поскольку она повторно заполняется при перезагрузке.