Ajuda um novato (avisos rkhunter)

Navegue suas respostas
0

Recentemente, fiquei muito desconfiado de que alguém tenha rateado meu sistema. Eu sinto que as abas às vezes mudam. Por exemplo, eu faço algo no chrome e de repente ele mostra a tela da ópera (mesmo que ambos estejam correndo, eu nunca cliquei na tela da ópera) e coisas assim.

Então baixei o rkhunter, fiz um teste executando sudo rkhunter -c --enable all --disable none Minha saída está abaixo. São todos esses avisos falsos ou há algo com o qual eu deveria me preocupar? 

Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: The following processes are using deleted files:
         Process: /sbin/upstart    PID: 1394    File: /home/qwerty/.cache/upstart/window-stack-bridge.log.1
         Process: /usr/bin/nautilus    PID: 1806    File: /home/qwerty/.local/share/gvfs-metadata/home
         Process: /opt/google/chrome/chrome    PID: 2001    File: /dev/shm/.com.google.Chrome.bsY3ZP
         Process: /bin/cat    PID: 2007    File: /dev/pts/7
         Process: /bin/cat    PID: 2008    File: /dev/pts/7
         Process: /opt/google/chrome/chrome    PID: 2147    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 2220    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 2222    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 2682    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 2992    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 3491    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /usr/lib/firefox/firefox    PID: 3626    File: /dev/pts/7
         Process: /opt/google/chrome/chrome    PID: 3760    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /usr/lib/firefox/firefox    PID: 3824    File: /dev/pts/7
         Process: /opt/google/chrome/chrome    PID: 4057    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /usr/bin/unity-scope-loader    PID: 4331    File: /tmp/tmpfHAIWlu
         Process: /usr/share/discord/Discord    PID: 5634    File: /dev/shm/.org.chromium.Chromium.k92K46
         Process: /usr/share/discord/Discord    PID: 5687    File: /dev/shm/.org.chromium.Chromium.k92K46
         Process: /usr/share/discord/Discord    PID: 5712    File: /dev/shm/.org.chromium.Chromium.5ZDa2W
         Process: /opt/google/chrome/chrome    PID: 6182    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 7917    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 24709    File: /dev/shm/.com.google.Chrome.rKGMNn
         Process: /opt/google/chrome/chrome    PID: 28812    File: /dev/shm/.com.google.Chrome.rKGMNn
Warning: File '/tmp/.org.chromium.Chromium.mEHtjR' (score: 274) contains some suspicious content and should be checked.
Warning: Checking for files with suspicious contents [ Warning ]
Warning: Process '/sbin/dhclient' (PID 1036) is listening on the network.
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-1350328584: data
         /dev/shm/pulse-shm-731875246: data
         /dev/shm/pulse-shm-2797972517: data
         /dev/shm/pulse-shm-2509473639: data
         /dev/shm/pulse-shm-477054089: data
         /dev/shm/pulse-shm-934396546: data
         /dev/shm/pulse-shm-2102280203: data
         /dev/shm/pulse-shm-3302084726: data
         /dev/shm/pulse-shm-528687106: data
         /dev/shm/pulse-shm-3145487857: data
         /dev/shm/pulse-shm-1815311782: data
         /dev/shm/pulse-shm-2150163244: data
         /dev/shm/pulse-shm-3711979297: data
         /dev/shm/pulse-shm-194223215: data
         /dev/shm/pulse-shm-2010166027: data
    
por Steven Ronald 28.08.2017 / 23:45

1 resposta

0

Após uma revisão rápida de sua saída, bem como o howto rkhunter , a única coisa que me daria alguma preocupação em sua saída é "File '/tmp/.org.chromium.Chromium.mEHtjR' (score: 274) contém algum conteúdo suspeito e deve ser verificado." Como isso está na sua pasta / tmp, é provável que ele tenha desaparecido após a reinicialização, mas não faria mal verificar novamente. No meu entender, você deve fazer um sudo rkhunter --propupd primeiro para atualizar o banco de dados das propriedades do arquivo (isso tem que ser feito toda vez que um novo software for instalado) Veja o howto para detalhes.

sudo rkhunter --versioncheck dirá se há uma versão mais recente disponível do que aquela que você está usando.

Os tipos de arquivos suspeitos em / dev / shm parecem ser arquivos pulseaudio normais, mas as aparências enganam, então não ofereço garantias.

Você pode querer se inscrever na lista de discussão do Rootkit Hunters , que é uma boa fonte de informações sobre falsas positivos.

Fontes:

link

man rkhunter

    
por Elder Geek 29.08.2017 / 01:16
erro de montagem (115) com compartilhamento do Windows 10. Erro ao conectar ao soquete Como posso trazer a área de trabalho de outro usuário em qualquer TTY enquanto eu (unidade em execução no TTY-7) e o outro usuário estiver logado simultaneamente?