Eu tenho um rootkit? suckit detectado em erros / sbin / init & chkutmp

Navegue suas respostas
3

apenas rodei o chkrootkit em um lubuntu 14.04 instalado recentemente e ele surgiu com: 

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/lib/modules/3.16.0-30-generic/vdso/.build-id /lib/modules/3.16.0-31-generic/vdso/.build-id
/lib/modules/3.16.0-30-generic/vdso/.build-id /lib/modules/3.16.0-31-generic/vdso/.build-id

Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED

Checking 'chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1204 tty7   /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted
Checking 'OSX_RSPLUG'...                                    not infected

Como você pode ver, há algumas anomalias; Quais são esses arquivos suspeitos e dirs? doente em / sbin / init? chkutmp? Eu não obtenho nenhum resultado assim na minha outra máquina ... Então eu tentei rkhunter também, eu iria postar todo o arquivo de log, mas é muitos caracteres fand o post é limitado a 30000 

[12:14:00]   /usr/bin/unhide.rb                              [ Warning ]
[12:14:00] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

[12:15:19] System checks summary
[12:15:19] =====================
[12:15:19]
[12:15:19] File properties checks...
[12:15:19] Files checked: 134
[12:15:19] Suspect files: 1
[12:15:19]
[12:15:19] Rootkit checks...
[12:15:19] Rootkits checked : 291
[12:15:19] Possible rootkits: 0
[12:15:19]
[12:15:19] Applications checks...
[12:15:19] All checks skipped
[12:15:19]
[12:15:19] The system checks took: 1 minute and 38 seconds
[12:15:19]
[12:15:19] Info: End date is Mon Mar 16 12:15:19 GMT 2015

rkhunter não parece indicar suckit, então isso é um falso positivo do chkrootkit? ou um falso negativo do rkhunter? o que acontece com esses outros avisos, alguém pode me dar alguma idéia sobre o que eles significam? Eu pesquisei alguns desses resultados anômalos, mas não consegui encontrar nada ... o que geralmente é um mau sinal.

Então, eu tenho um rootkit e, em caso afirmativo, como faço para removê-lo e reparar qualquer dano feito?

    
por Jingle Joe 16.03.2015 / 13:36

1 resposta

9

chkrootkit não faz verificações completas de arquivos adicionais com "rootkit da Suckit", então é quase certo que isso é falso positivo se rkhunter não detectar o rootkit da Suckit como estando presente na máquina em questão, pois rkhunter faz verificações adicionais para esses arquivos adicionais que estarão presentes no sistema quando ele estiver infectado com o rootkit da Suckit.

Leia isto para obter mais informações sobre chkrootkit detectando a presença do Suckit Rootkit no sistema, quando na verdade ele não está presente no sistema: link

    
por user364819 16.03.2015 / 13:44

Tags

Como expandir, redimensionar “partição estendida”? [duplicado] Como evitar o arquivo de propriedade do root ao usar o 'sudo gedit' [duplicado]