chrootkit arquivos suspeitos e diretório detectados

Navegue suas respostas
0

Eu fiz um chrootkit scan.E encontrou algo, ele não diz nenhuma recomendação sobre a detecção dos arquivos ou diretórios. Alguma sugestão?

os resultados são: 

The following suspicious files and directories were found:  

/usr/lib/debug/.build-id 
/lib/modules/4.4.0-93-generic/vdso/.build-id 
/lib/modules/4.4.0-92-generic/vdso/.build-id 
/lib/modules/4.4.0-91-generic/vdso/.build-id
    
por obo 04.09.2017 / 10:31

2 respostas

1

Esses arquivos / diretórios estão relacionados a um pacote de software (ou vários pacotes de software)? 

for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
    /bin/ls -ld $thing
    /usr/bin/dpkg -S $thing
done

YMMV, mas no MY Ubuntu 16.04.3LTS, isso mostra: 

$ for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
>     /bin/ls -ld $thing
>     /usr/bin/dpkg -S $thing
> done
drwxr-xr-x 229 root root 4096 Aug 14 17:54 /usr/lib/debug/.build-id
python-bzrlib-dbg, tclcl-dbg, python2.7-dbg, libfltk1.3-dbg, graphicsmagick-dbg, python3-tk-dbg, python3-gdbm-dbg:amd64, libglib2.0-0-dbg:amd64, libkf5wallet5-dbg:amd64, libtk8.6-dbg:amd64, libtcl8.6-dbg:amd64, libc6-dbg:amd64, atanks-dbg, ballz-dbg, lyx-dbg, liblqr-1-0-dbg, ntfs-3g-dbg, python3.5-dbg, evolution-dbg, freeglut3-dbg:amd64, libgd-dbg:amd64, libgdk-pixbuf2.0-0-dbg:amd64: /usr/lib/debug/.build-id
drwxr-xr-x 5 root root 4096 Aug 28 18:31 /lib/modules/4.4.0-93-generic/vdso/.build-id
linux-image-4.4.0-93-generic: /lib/modules/4.4.0-93-generic/vdso/.build-id
drwxr-xr-x 5 root root 4096 Aug 15 19:30 /lib/modules/4.4.0-92-generic/vdso/.build-id
linux-image-4.4.0-92-generic: /lib/modules/4.4.0-92-generic/vdso/.build-id
/bin/ls: cannot access '/lib/modules/4.4.0-91-generic/vdso/.build-id': No such file or directory
dpkg-query: no path found matching pattern /lib/modules/4.4.0-91-generic/vdso/.build-id

Eu não tenho linux-image-4.4.0-91-generic instalado.

Este é um resultado falso positivo de chkrootkit e mostra a dificuldade com qualquer conjunto pré-empacotado de "Estou enraizado?" testes. Embora os testes possam ter sido bons no momento do empacotamento, eles ficam atrás das mudanças no ambiente que está sendo verificado. Dada a alta possibilidade de resultados falso-positivos, este tipo de ferramenta deve ser usado apenas como um primeiro passo, um gatilho para uma investigação mais aprofundada. O entendimento deve vir antes da ação.

    
por waltinator 04.09.2017 / 17:50
0

build-id

Não, não é um vírus! :) Não o apague, pode ser uma pasta do sistema. Espero que tenha ajudado!

    
por Cubecreeper1 04.09.2017 / 15:24
Correção de vulnerabilidades em versões do Ubuntu LTS altere o DNS usando o terminal - DNS público