Как рассматривать предполагаемую chkrootkit положительную ложь
Я установил chkrootkit с apt-install в недавно установленном сервере Ubuntu 16.04.3.
chkrootkit нашел подозрительные файлы и каталоги после первого показа:
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
Я заметил, что три года назад другой пользователь в stackexchange нашел те же ложные положительные стороны и отправил Chkrootkit найденное много подозрительных файлов и каталогов и ЗАРАЖЕННОГО/sbin/init.
В FAQ номер 8 на chkrootkit официальном сайте указано, что они не могут добавить ложные положительные стороны в белый список, потому что взломщик мог бы использовать это, так как он знает, что chkrootkit проигнорирует определенные файлы и директоров.
Что Вы предлагаете сделать с этим длинным списком файлов и каталогами? Как я могу проверить, что они - ложные положительные стороны? Если они - ложные положительные стороны, Есть ли любой способ сравнить эти файлы с их исходным содержанием (как с использованием пакетов dpkg -V)?
1 ответ
Можно проверить пакеты (несколько) с debsums
sudo apt install debsums
Затем
sudo debsums
По умолчанию это пропускает файлы конфигурации, для включения их
sudo debsums -a
Для показа только ошибок используют флаг-s
sudo debsums -as
Для получения дополнительной информации и дополнительные опции видят человека debsums
http://manpages.ubuntu.com/manpages/zesty/en/man1/debsums.1.html
If you are looking for an integrity checker that can run from safe
media, do integrity checks on checksum databases and can be easily
configured to run periodically to warn the admin of changes see other
tools such as: aide, integrit, samhain, or tripwire.
Те инструменты (помощник, целостность, samhain, или растяжка) должны быть установлены / инициализированный на новой установке / известная хорошая система и предпочтительно выполнение от живые медиа, как прибыли, раскалывающиеся инструменты могут победить эти инструменты во взломанной системе.