Как я получил руткит? [dубликат]

Question 1

Недавно я запустил chkrootkit и получил следующую строку:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

Что это значит? Я слышал, что это ложный позитив, что именно происходит.

Пожалуйста, спасибо.

Question 2

Вероятно, это ложный позитив, так как в chkrootkit есть ошибка (предположительно исправленная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. Https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Дополнительно вы может попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем проверить его напрямую.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключевая строка:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Начиная с недавних версий Ubuntu, запуск этой команды приводит к некоторому выводу (необходимо запустить от имени root или sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однако это не инфекция руткитом. Я также просмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

Question 3

Question 4

Вероятно, это ложный позитив, так как в chkrootkit есть ошибка (предположительно исправленная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. Https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Дополнительно вы может попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем проверить его напрямую.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключевая строка:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Начиная с недавних версий Ubuntu, запуск этой команды приводит к некоторому выводу (необходимо запустить от имени root или sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однако это не инфекция руткитом. Я также просмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

Question 5

Вероятно, это ложный позитив, так как в chkrootkit есть ошибка (предположительно исправленная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. Https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Дополнительно вы может попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем проверить его напрямую.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключевая строка:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Начиная с недавних версий Ubuntu, запуск этой команды приводит к некоторому выводу (необходимо запустить от имени root или sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однако это не инфекция руткитом. Я также просмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

Question 6

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Question 7

Question 8

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Question 9

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Question 10

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Question 11

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Question 12

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Question 13

Question 14

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

cat /sbin/init | egrep HOME

Производит:

Binary file (standard input) matches

AND

Запуск:

cat /proc/1/maps | egrep "init."

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, то, возможно, простой способ - просто удалить этот раздел из chkrootkit и запустить как rkhunter, так и chkrootkit?

Question 15

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

cat /sbin/init | egrep HOME

Производит:

Binary file (standard input) matches

AND

Запуск:

cat /proc/1/maps | egrep "init."

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, то, возможно, простой способ - просто удалить этот раздел из chkrootkit и запустить как rkhunter, так и chkrootkit?

Question 16

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

cat /sbin/init | egrep HOME

Производит:

Binary file (standard input) matches

AND

Запуск:

cat /proc/1/maps | egrep "init."

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, то, возможно, простой способ - просто удалить этот раздел из chkrootkit и запустить как rkhunter, так и chkrootkit?

Question 17

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Question 18

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Question 19

Question 20

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Question 21

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Question 22

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Question 23

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Simon B · Accepted Answer · 18 July 2018 в 15:15

Вероятно, это ложный позитив, так как в chkrootkit есть ошибка (предположительно исправленная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. Https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Дополнительно вы может попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем проверить его напрямую.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключевая строка:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Начиная с недавних версий Ubuntu, запуск этой команды приводит к некоторому выводу (необходимо запустить от имени root или sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однако это не инфекция руткитом. Я также просмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

Simon B · Accepted Answer · 24 July 2018 в 20:35

Вероятно, это ложный позитив, так как в chkrootkit есть ошибка (предположительно исправленная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. Https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Дополнительно вы может попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем проверить его напрямую.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключевая строка:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Начиная с недавних версий Ubuntu, запуск этой команды приводит к некоторому выводу (необходимо запустить от имени root или sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однако это не инфекция руткитом. Я также просмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

Simon B · Accepted Answer · 31 July 2018 в 23:37

Вероятно, это ложный позитив, так как в chkrootkit есть ошибка (предположительно исправленная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. Https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Дополнительно вы может попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем проверить его напрямую.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

Ключевая строка:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Начиная с недавних версий Ubuntu, запуск этой команды приводит к некоторому выводу (необходимо запустить от имени root или sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Однако это не инфекция руткитом. Я также просмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

Simon B · Accepted Answer · 2 August 2018 в 18:34

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Simon B · Accepted Answer · 3 August 2018 в 20:53

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Simon B · Accepted Answer · 5 August 2018 в 05:32

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Simon B · Accepted Answer · 6 August 2018 в 22:39

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Simon B · Accepted Answer · 9 August 2018 в 03:04

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Simon B · Accepted Answer · 14 August 2018 в 21:23

Скорее всего, это ложный позитив, так как есть ошибка в chkrootkit (предположительно фиксированная в более поздней версии 0.50-3ubuntu1). По-видимому, chkrootkit не выполняет достаточно тщательную проверку.

См. [D0] https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

Кроме того, вы можете попробовать rkhunter, который похож на chkrootkit.

Дополнительная информация: К счастью, запуск файла `which chkrootkit` показывает нам, что chkrootkit - это всего лишь сценарий оболочки, поэтому мы можем его проверить напрямую .

  Поиск Suckit в файле / usr / sbin / chkrootkit: ### Suckit if [-f $ {ROOTDIR} sbin / init];  то если ["$ {QUIET}"! = "t"], а затем printn "Поиск Suckit rootkit ...";  fi, если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME || \ cat $ {ROOTDIR} / proc / 1 / maps | $ {egrep} "init.") & gt; / dev / null 2 & gt;  & amp; 1 then echo "Warning: $ {ROOTDIR} sbin / init INFECTED" else if [-d $ {ROOTDIR} /dev/.golf];  затем echo "Warning: подозрительный каталог $ {ROOTDIR} dev / .golf" else if ["$ {QUIET}"! = "t"];  затем эхо «ничего не найдено»;  fi fi fi fi

Ключевая строка:

  cat $ {ROOTDIR} / proc / 1 / maps |  $ {egrep} "init".

С недавних версий Ubuntu запуск этой команды приводит к некоторому выводу (нужно запустить с правами root или sudo):

  # sudo cat / proc /  1 / карты |  egrep "init".  b78c2000-b78db000 r-xp 00000000 08:02 271571 / sbin / init (удалено) b78db000-b78dc000 r - p 00019000 08:02 271571 / sbin / init (удалено) b78dc000-b78dd000 rw-p 0001a000 08:02 271571 / sbin  / init (удалено)

Однако это не является заражением руткитом. Я также посмотрел код rkhunter, и проверки гораздо более строгие (тестирование для всех видов дополнительных файлов, установленных руткитом).

Я изменил строки 1003 1004 в файле chkrootkit, чтобы не проверять выполнить проверку / proc / 1 / maps (не забудьте сначала сделать копию)

 , если [$ {SYSTEM}! = "HP-UX"] & amp; & amp; & amp; & amp; & amp;  ($ {строки} $ {ROOTDIR} sbin / init | $ {egrep} HOME) \ & gt; / dev / null 2 & amp; 1

Это относится к V0.49, установленному apt-get. Похоже, chkrootkit 0.50 (доступно с chkrootkit.org напрямую) исправляет это ложное срабатывание. — Quog, 10 June 2014 в 07:23
Поскольку это произошло в поиске, когда я пытался устранить неполадки, я хотел бы упомянуть, что здесь есть другая дискуссия с дополнительной информацией: askubuntu.com/questions/597432/… — Cody Sharp, 26 March 2016 в 05:26

Seth · Answer 10 · 18 July 2018 в 15:15

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

cat /sbin/init | egrep HOME

Производит:

Binary file (standard input) matches

AND

Запуск:

cat /proc/1/maps | egrep "init."

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, то, возможно, простой способ - просто удалить этот раздел из chkrootkit и запустить как rkhunter, так и chkrootkit?

Seth · Answer 11 · 24 July 2018 в 20:35

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

cat /sbin/init | egrep HOME

Производит:

Binary file (standard input) matches

AND

Запуск:

cat /proc/1/maps | egrep "init."

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, то, возможно, простой способ - просто удалить этот раздел из chkrootkit и запустить как rkhunter, так и chkrootkit?

У меня то же самое на Ubuntu 14.04 32 бит. Если я попробую strings /sbin/init | grep HOME, я получаю XDG_CACHE_HOME and XDG_CONFIG_HOME, что все еще ложный результат? Какова цель поиска строки & quot; HOME & quot; in / sbin / init? Почему это должно быть позитивным? — rubo77, 14 October 2014 в 04:06

Seth · Answer 12 · 31 July 2018 в 23:37

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

cat /sbin/init | egrep HOME

Производит:

Binary file (standard input) matches

AND

Запуск:

cat /proc/1/maps | egrep "init."

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, то, возможно, простой способ - просто удалить этот раздел из chkrootkit и запустить как rkhunter, так и chkrootkit?

У меня то же самое на Ubuntu 14.04 32 бит. Если я попробую strings /sbin/init | grep HOME, я получаю XDG_CACHE_HOME and XDG_CONFIG_HOME, что все еще ложный результат? Какова цель поиска строки & quot; HOME & quot; in / sbin / init? Почему это должно быть позитивным? — rubo77, 14 October 2014 в 04:06

Seth · Answer 13 · 2 August 2018 в 18:34

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Seth · Answer 14 · 3 August 2018 в 20:53

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Seth · Answer 15 · 5 August 2018 в 05:32

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Seth · Answer 16 · 6 August 2018 в 22:39

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Seth · Answer 17 · 9 August 2018 в 03:04

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

Seth · Answer 18 · 14 August 2018 в 21:23

На Kubuntu 13.04 по состоянию на 2013-07-31

Запуск:

  cat / sbin / init |  egrep HOME

Производит:

  Двоичный файл (стандартный ввод) соответствует

AND

] Запуск:

  cat / proc / 1 / maps |  egrep "init".

Производит вывод NO.

Примечание: Удаление периода приводит к выходу (изменение «init» на «init»)

   b7768000-b779f000 r-xp 00000000 08:02 399192 / sbin / init b779f000-b77a0000 r - p 00036000 08:02 399192 / sbin / init b77a0000-b77a1000 rw-p 00037000 08:02 399192 / sbin / init

Итак, мне кажется, что проблема проверки HOME - это проблема.

Если можно сделать предположение, что rkhunter имеет действительную проверку, тогда, возможно, легкий путь - это просто удалить этот раздел из chkrootkit и запустить и rkhunter и chkrootkit?

У меня то же самое на Ubuntu 14.04 32 бит. Если я попробую строки / sbin / init | grep HOME Я получаю XDG_CACHE_HOME и XDG_CONFIG_HOME , что все еще ложное положительное? Какова цель поиска строки & quot; HOME & quot; in / sbin / init? Почему это должно быть позитивным? — rubo77, 14 October 2014 в 04:06

Как я получил руткит? [dубликат]

18 ответов

Другие вопросы по тегам:

Похожие вопросы: