O que fazer se o rkhunter encontrar um possível rootkit?

2

correu rkhunter hoje à noite, e eu entendi isso para os resultados:

[04:17:34] System checks summary
[04:17:34] =====================
[04:17:34]
[04:17:34] File properties checks...
[04:17:34] Files checked: 133
[04:17:34] Suspect files: 16
[04:17:34]
[04:17:34] Rootkit checks...
[04:17:34] Rootkits checked : 245
[04:17:34] Possible rootkits: 1
[04:17:34] Rootkit names    : Slapper Worm
[04:17:34]
[04:17:34] Applications checks...
[04:17:34] All checks skipped
[04:17:34]
[04:17:34] The system checks took: 2 minutes and 27 seconds
[04:17:34]
[04:17:34] Info: End date is Sat Jul 12 04:17:34 UTC 2014

Diz o possível rootkit "Slapper Worm", e aponta para este arquivo:

[04:16:42] Checking for Slapper Worm...
[04:16:42]   Checking for file '/tmp/.bugtraq'               [ Not found ]
[04:16:42]   Checking for file '/tmp/.uubugtraq'             [ Not found ]
[04:16:42]   Checking for file '/tmp/.bugtraq.c'             [ Not found ]
[04:16:42]   Checking for file '/tmp/httpd'                  [ Not found ]
[04:16:42]   Checking for file '/tmp/.unlock'                [ Not found ]
[04:16:42]   Checking for file '/tmp/update'                 [ Found ]
[04:16:42]   Checking for file '/tmp/.cinik'                 [ Not found ]
[04:16:43]   Checking for file '/tmp/.b'                     [ Not found ]
[04:16:43] Warning: Slapper Worm                             [ Warning ]
[04:16:43]          File '/tmp/update' found

Eu removi este arquivo, mas não parece ser nada sério? Eu deveria estar preocupado que eu possa ter um rootkit? A remoção desse arquivo corrigirá o problema?

    
por Alex Douglas 12.07.2014 / 08:13

1 resposta

4

Neste caso, eu não ficaria muito preocupado, pois ele só detectou um nome de arquivo que não é improvável de ser criado por algo completamente não relacionado, devido à natureza comum da palavra update . Os arquivos mais importantes, como /tmp/.bugtraq , estão ausentes. Além disso, o Slapper tem 12 anos de idade e usou uma vulnerabilidade que tem tempo foi fechado.

Se você executar rkhunter porque suspeitou de uma infecção, poderá investigar mais, mas se foi uma operação de rotina, feche o assunto.

    
por 12.07.2014 / 10:06