Como tratar supostamente falso positivo chkrootkit

Question

Como tratar supostamente falso positivo chkrootkit

#1 resposta do Panther (2 votos)

0

Eu instalei o chkrootkit com apt-install em um servidor Ubuntu recém-instalado 16.04.3.
O chkrootkit encontrou arquivos e diretórios suspeitos após a primeira execução:

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id

Eu notei que três anos atrás outro usuário na stackexchange encontrou os mesmos falsos positivos e postou O Chkrootkit encontrou muitos arquivos e diretórios suspeitos, e / sbin / init INFECTED .

Em FAQ número 8 , no site oficial do chkrootkit, afirma-se que eles não podem incluir positivos falsos porque um invasor pode use isso, pois ele sabe que o chkrootkit irá ignorar certos arquivos e diretórios.

O que você sugere para fazer com essa longa lista de arquivos e diretórios? Como posso verificar se eles são falsos positivos? Se eles são falsos positivos, existe alguma maneira de comparar esses arquivos com o conteúdo original (como em pacotes usando dpkg -V )?

por Asarluhi 05.10.2017 / 17:58

1 resposta

Por que ainda não é possível desligar o PC quando o LibreOffice-quickstart está ativo? Ajuda do GDebi por favor [fechada]

score 2 · Accepted Answer

Você pode verificar seus pacotes (um pouco) com debsums

sudo apt install debsums

Então

sudo debsums

Por padrão, ele ignora os arquivos de configuração, para incluí-los

sudo debsums -a

Para mostrar apenas erros, use o sinalizador -s

sudo debsums -as

Para detalhes e opções adicionais veja man debsums

link

If  you  are  looking  for  an integrity checker that can run from safe
       media, do integrity checks on checksum  databases  and  can  be  easily
       configured  to  run periodically to warn the admin of changes see other
       tools such as: aide, integrit, samhain, or tripwire.

Essas ferramentas (aide, integrit, samhain ou tripwire) devem ser instaladas / inicializadas em um sistema novo instalado / conhecido e, de preferência, executadas a partir de uma mídia ativa, pois as ferramentas de craqueamento podem derrotar essas ferramentas em um sistema trincado.