chkrootkit mostra “tcpd” como INFECTADO. É um falso positivo?

Question

chkrootkit mostra “tcpd” como INFECTADO. É um falso positivo?

#1 resposta do muru (20 votos)
#2 resposta do user760856 (0 votos)

12

A verificação por chkrootkit mostra "tcpd" como INFECTADO. Embora uma varredura por rkhunter mostre ok, (exceto para falsos positivos regulares)

Devo estar preocupado? (Estou no Ubuntu 16.10 com o 4.8.0-37 genérico)

security malware rootkit chkrootkit tcpdump

por mariner 15.02.2017 / 06:59

2 respostas

0

Este é um falso positivo causado por um bug no script principal do chkrootkit. Eu tentei postar a correção aqui, mas fui downvoted. Eu relatei o problema para os desenvolvedores do chkrootkit, mas se você quiser corrigir o problema para que ele realmente funcione, você pode querer verificar: link

por user760856 05.12.2017 / 00:41

Tags security malware rootkit chkrootkit tcpdump

Como instalo um novo pacote de idiomas para o Tesseract em 16.04 O que constitui um bug?

score 20 · Accepted Answer

Em esta postagem no fórum do Ubuntu , o usuário kpatz testou isso em uma nova 16.10 VM e chkrootkit ainda reclamou, tornando isso um falso positivo. Você sempre pode verificar se um arquivo foi violado comparando o md5sum do pacote:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

É claro que o próprio arquivo md5sums talvez tenha sido adulterado (e assim poderia md5sum em si e assim por diante ...).