Como tratar supostamente falso positivo chkrootkit

0

Eu instalei o chkrootkit com apt-install em um servidor Ubuntu recém-instalado 16.04.3.
O chkrootkit encontrou arquivos e diretórios suspeitos após a primeira execução:

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id

Eu notei que três anos atrás outro usuário na stackexchange encontrou os mesmos falsos positivos e postou O Chkrootkit encontrou muitos arquivos e diretórios suspeitos e / sbin / init INFECTED .

Em FAQ número 8 , no site oficial do chkrootkit, é indicado que eles não podem incluir positivos falsos porque um invasor pode use isso, pois ele sabe que o chkrootkit irá ignorar certos arquivos e diretórios.

O que você sugere para fazer com essa longa lista de arquivos e diretórios? Como posso verificar se eles são falsos positivos? Se eles forem falsos positivos, existe alguma maneira de comparar esses arquivos com o conteúdo original (como em pacotes usando dpkg -V )?

    
por Asarluhi 27.09.2017 / 13:27

1 resposta

1

A lista de permissões é geralmente obsoleta por motivos óbvios (por exemplo, também chkrootkit FAQ # 8 ).

No entanto, como você especificamente pede, uma maneira de fazê-lo (usando o debian) é mencionada em Como tratar potenciais PQ no chkrootkit , claro, por sua própria avaliação e risco:

/usr/sbin/chkrootkit | /bin/grep -vf /usr/local/share/chkrootkit/ignore-fp.txt

Onde /usr/local/share/chkrootkit/ignore-fp.txt contém o regex ou os arquivos a serem ignorados.

Usando o debian, você pode verificar os arquivos de instalação corretos conhecidos:

/usr/bin/debsums -sa

Incluir verificações de arquivos de configuração ("-a") e somente reportar erros "-s"), c.f. usando debsums .

Como sempre, use o bom senso, invista um pouco de tempo e execute uma investigação cuidadosa. Praticar comportamento proativo e pré-incidente é fundamental neste campo. As melhores práticas para proteger seu sistema estão em toda parte na rede, não deixe de fazer uma pesquisa ampla e evitar estabelecer uma única ou a primeira lista de verificação. O trabalho contínuo é necessário para ficar no topo das coisas. Resumindo: A lista de permissões, nesse contexto, parece não ser o caminho a seguir.

HTH

    
por 06.11.2017 / 12:09