Não é possível entender o resultado do chkrootkit

2

Não consegui entender a saída do comando chkrootkit :

$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory

O que isso significa?

    
por Dharmit 16.04.2011 / 18:37

2 respostas

2

Os arquivos .*.hmac são arquivos de assinatura de alguns softwares criptográficos criados por fipscheck . Sua presença não é suspeita de forma alguma. Eles parecem ser comuns falso pontos positivos do chkrootkit no Fedora.

Quanto ao arquivo firefox-3.6/.autoreg , que é uma parte normal do Firefox, você não o primeiro para ver o chkrootkit reclamar.

O /proc/2980/fd/129 inexistente é provavelmente porque o processo 2980 fechou o arquivo (ou mesmo saiu) apenas enquanto o chkrootkit estava atingindo-o.

Você obteria mais informações sem -q .

As chances são de que estes são falsos positivos. Por outro lado, um invasor ciente do chkrootkit pode deliberadamente instalar seu malware em um desses falsos positivos comuns conhecidos. Por outro lado, executar o chkrootkit a partir do sistema que você está verificando é praticamente inútil: um malware bem escrito invadiria o kernel e faria tudo parecer normal para o chkrootkit e outras ferramentas de detecção de malware ou intrusão.

    
por 16.04.2011 / 19:36
1

O erro "no such file" significa simplesmente que é esperado encontrar algo e não conseguiu. Nesse caso, havia um processo do sistema em execução, mas quando ele foi verificar as entradas do proc relativas a ele, eles não estavam lá. Isso pode significar que o processo está oculto e ruim, ou pode significar que ele parou antes de ser examinado.

Os outros arquivos são arquivos em seu sistema que o chkrootkit considera suspeito e deve ser consultado. [edit:] Nesse caso, eles são principalmente arquivos de biblioteca que começam com um ponto, mas também têm uma extensão extra. Você procura quais são esses arquivos e descobre de onde eles vieram.

    
por 16.04.2011 / 18:57