chkrootkit mostra “tcpd” como INFECTADO. É um falso positivo?

Navegue suas respostas
16

A verificação por chkrootkit mostra "tcpd" como INFECTADO. Embora uma varredura por rkhunter mostre ok, (exceto para falsos positivos regulares)

Devo estar preocupado? (Estou no Ubuntu 16.10 com o 4.8.0-37 genérico)

    
por mariner 15.02.2017 / 06:59

2 respostas

24

Em esta postagem no fórum do Ubuntu , o usuário kpatz testou isso em uma nova 16.10 VM e chkrootkit ainda reclamou, tornando isso um falso positivo. Você sempre pode verificar se um arquivo foi violado comparando o md5sum do pacote: 

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

É claro que o próprio arquivo md5sums talvez tenha sido adulterado (e assim poderia md5sum em si e assim por diante ...).

    
por muru 15.02.2017 / 07:25
3

Este é um falso positivo causado por um bug no script principal do chkrootkit. Eu tentei postar a correção aqui, mas fui downvoted. Eu relatei o problema para os desenvolvedores do chkrootkit, mas se você quiser corrigir o problema para que ele realmente funcione, você pode querer verificar: link

    
por user760856 05.12.2017 / 00:41
'sudo apt-get upgrade' produz 'E: Subprocesso / usr / bin / dpkg retornou um código de erro (1)' [ubuntu 14.04] Reparo de inicialização permite um repositório contendo pacotes grub2