Após um download ontem, meu computador travou. Eu atualizei hoje e verifiquei rootkits. Eu encontrei um sniffer de pacotes
eth0: PACKET SNIFFER(/sbin/dhclient[3966])
Como posso remover isso?
Eu acho que pode ser um falso positivo. Tente verificar com rkhunter , porque ele fornece menos falsos positivos. Para baixar rkhunter , e para informações mais detalhadas sobre como usá-lo, Veja este site
Se aparecer limpo, então você tem motivos para preocupação.
Tente também:
rkhunter --check
update
sudo rkhunter --propupd
rkhunter --check
Fonte: O projeto do Rootkit Hunter
Dhclient é o padrão "Dynamic Host Configuration Protocol Client" para o Ubuntu que é necessário para quando você não tem um IP fixo, mas ainda quer ser acessado pela Internet.
Caso esteja preocupado, você deve checar seu dhclient.conf entradas indesejadas.
Os pacotes isc-dhcp-client e isc-dhcp-server (cliente e servidor DHCP) executam novamente seus daemons regularmente e causam um falso positivo "sniffer de pacote". O script chkrootkit do /etc/cron.daily/chkrootkit do pacote tem uma solução alternativa para isso que tenta substituir o PID por uma string estática.
No entanto, a solução alternativa para o falso positivo não funciona. Isso ocorre porque no Debian, os binários desses pacotes costumavam terminar com um número de versão, por exemplo, %código%. Mas os mantenedores do pacote /sbin/dhclient3 nunca atualizaram chkrootkit para trabalhar com a série da versão 4 dos pacotes /etc/cron.daily/chkrootkit e isc-dhcp-client , cujos arquivos não têm o número da versão.
Para corrigir esse problema, faça uma cópia de backup de isc-dhcp-server , edite-o e altere-o ...
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \
... para ...
sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \
Tenha o cuidado de deixar a barra invertida no final da linha.