Возможно, заражена ОС 2,3-недельного возраста? rkhunter, chkrootkit

Question 1

Проблема: Проверяет руткит ... Проверено руткитов: 498 Возможно руткиты: 5

/usr/bin/bsd-mailx                                       [ Warning ]

переустановлено, сообщение сохраняется, но теперь новое: / usr / bin / lwp-request :: warning Здесь :: {1}} Проверка `lkm '... Ой, не ожидалось 329818 value chkproc: Предупреждение: установленный возможный троян LKM

не обнаруживает никаких руткитов: rkhunter (но все же говорит, что это возможно 5) Мне не нравится, если на моем компьютере установлен нулевой день ; Также здесь появляется следующее:

Проверка на наличие подозрительных (больших) сегментов разделяемой памяти [Предупреждение]

Что это ???

Я думаю, это все из сканеров руткитов ...

теперь сканирование clamav ... новое: всего 3 возможных руткита ?? Рхунтер хороший софт ??? !!! Это обнаружил clamav (я пытался создать галиевую загрузку для ubuntu touch) /home/france1/.fairphone3/halium/external/curl/lib/mk-ca-bundle.vbs: Sanesecurity.Malware.25834.JsHeur.UNOFFICIAL НАЙДЕН

Question 2

rkhunter - хорошее программное обеспечение, но нужно знать, как его использовать.

rkhunter ищет индикаторы компрометации (IOC). IOC - это не доказательство того, что вы были скомпрометированы, а, как говорится в названии, просто индикатор того, что это может быть так. Следовательно, если rkhunter выдает предупреждение, вам следует изучить его и, если выяснится, что найденное им на самом деле легитимно в вашей системе, обновить политику rkhunter, чтобы он знал, что больше не будет жаловаться на это.

В качестве примера, rkhunter ищет определенные типы сегментов общей памяти, которые, как известно, используются вредоносным ПО для сокрытия себя. Но есть и легитимное использование этого типа сегментов общей памяти, например, в программах баз данных. Поэтому, если вы впервые запустите rkhunter на сервере баз данных, он предупредит об этих сегментах общей памяти. Если вы проведете расследование и обнаружите, что они законно используются вашей базой данных, вы добавите соответствующее заявление в политику rkhunter, и rkhunter больше не будет предупреждать о них.

score 0 · Answer 1 · 28 July 2021 в 11:37

rkhunter - хорошее программное обеспечение, но нужно знать, как его использовать.

rkhunter ищет индикаторы компрометации (IOC). IOC - это не доказательство того, что вы были скомпрометированы, а, как говорится в названии, просто индикатор того, что это может быть так. Следовательно, если rkhunter выдает предупреждение, вам следует изучить его и, если выяснится, что найденное им на самом деле легитимно в вашей системе, обновить политику rkhunter, чтобы он знал, что больше не будет жаловаться на это.

В качестве примера, rkhunter ищет определенные типы сегментов общей памяти, которые, как известно, используются вредоносным ПО для сокрытия себя. Но есть и легитимное использование этого типа сегментов общей памяти, например, в программах баз данных. Поэтому, если вы впервые запустите rkhunter на сервере баз данных, он предупредит об этих сегментах общей памяти. Если вы проведете расследование и обнаружите, что они законно используются вашей базой данных, вы добавите соответствующее заявление в политику rkhunter, и rkhunter больше не будет предупреждать о них.

Возможно, заражена ОС 2,3-недельного возраста? rkhunter, chkrootkit

1 ответ

Другие вопросы по тегам:

Похожие вопросы: