업데이트 관리자 GUI를 실행했습니다. 모든 패키지를 설치하도록 요청하면 해당 패키지를 설치할 것인지 확인하라는 메시지가 표시됩니다. 3개의 패키지 드롭다운이 있으며 그 중 하나는 "Unauthorized"입니다. 그래서 다시 돌아가서 패키지를 하나씩 설치해 보았습니다. 저는 "ca-certificates"라는 인증서를 선택했습니다. 그렇게 하면 경고 없이 다른 인증서가 설치될 수도 있고 거부할 기회가 있다고 생각했기 때문입니다. 하지만 해당 패키지만 사용하여 실행하면 메시지가 표시되지 않고 계속 설치됩니다. 내 생각엔 이 사람이 처음으로 장난꾸러기 목록에 포함되었을 수도 있을 것 같아요. 이제 악성일 수 있는 업데이트가 생겼습니다.
이것이 합법적인지 어떻게 알 수 있나요? 그렇지 않다면 어떻게 삭제하나요?
콘솔 출력에 의심스러운 내용은 없지만 /var/log/dpkg.log도움이 된다면 게시할 수 있습니다.
저는 Linux Mint 버전 1.17.3과 dpkg 버전 1.17.5를 사용하고 있습니다. 업데이트 관리자 버전을 모르겠습니다(단, 이름이 이라는 파일입니다 /usr/lib/linuxmint/mintUpdate/mintUpdate.py).
/var/log/dpkg.log:
2017-11-05 12:12:26 startup archives unpack
2017-11-05 12:12:32 upgrade ca-certificates:all 20160104ubuntu0.14.04.1 20170717~14.04.1
2017-11-05 12:12:32 status half-configured ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status unpacked ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:32 status triggers-pending man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-installed ca-certificates:all 20160104ubuntu0.14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:33 trigproc man-db:amd64 2.6.7.1-1ubuntu1 2.6.7.1-1ubuntu1
2017-11-05 12:12:33 status half-configured man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:34 status installed man-db:amd64 2.6.7.1-1ubuntu1
2017-11-05 12:12:35 startup packages configure
2017-11-05 12:12:35 configure ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:35 status unpacked ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:35 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status installed ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:37 status triggers-pending ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:38 trigproc ca-certificates:all 20170717~14.04.1 <none>
2017-11-05 12:12:38 status half-configured ca-certificates:all 20170717~14.04.1
2017-11-05 12:12:43 status installed ca-certificates:all 20170717~14.04.1
업데이트된 콘솔 출력:
(synaptic:12479): GLib-CRITICAL **: g_child_watch_add_full: assertion 'pid > 0' failed
Preconfiguring packages ...
(Reading database ... 180668 files and directories currently installed.)
Preparing to unpack .../ca-certificates_20170717~14.04.1_all.deb ...
Unpacking ca-certificates (20170717~14.04.1) over (20160104ubuntu0.14.04.1) ...
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Setting up ca-certificates (20170717~14.04.1) ...
Processing triggers for ca-certificates (20170717~14.04.1) ...
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
WARNING: Skipping duplicate certificate Go_Daddy_Class_2_CA.pem
17 added, 42 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:AC_RAIZ_FNMT-RCM.pem
Adding debian:Amazon_Root_CA_1.pem
Adding debian:Amazon_Root_CA_2.pem
Adding debian:Amazon_Root_CA_3.pem
Adding debian:Amazon_Root_CA_4.pem
Adding debian:Certplus_Root_CA_G1.pem
Adding debian:Certplus_Root_CA_G2.pem
Adding debian:Certum_Trusted_Network_CA_2.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_ECC_RootCA_2015.pem
Adding debian:Hellenic_Academic_and_Research_Institutions_RootCA_2015.pem
Adding debian:ISRG_Root_X1.pem
Adding debian:LuxTrust_Global_Root_2.pem
Adding debian:OpenTrust_Root_CA_G1.pem
Adding debian:OpenTrust_Root_CA_G2.pem
Adding debian:OpenTrust_Root_CA_G3.pem
Adding debian:SZAFIR_ROOT_CA2.pem
Adding debian:TUBITAK_Kamu_SM_SSL_Kok_Sertifikasi_-_Surum_1.pem
Removing debian:AC_Raíz_Certicámara_S.A..pem
Removing debian:ApplicationCA_-_Japanese_Government.pem
Removing debian:Buypass_Class_2_CA_1.pem
Removing debian:CA_Disig.pem
Removing debian:ComSign_CA.pem
Removing debian:EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.pem
Removing debian:Equifax_Secure_CA.pem
Removing debian:Equifax_Secure_Global_eBusiness_CA.pem
Removing debian:Equifax_Secure_eBusiness_CA_1.pem
Removing debian:IGC_A.pem
Removing debian:Juur-SK.pem
Removing debian:Microsec_e-Szigno_Root_CA.pem
Removing debian:NetLock_Business_=Class_B=_Root.pem
Removing debian:NetLock_Express_=Class_C=_Root.pem
Removing debian:NetLock_Notary_=Class_A=_Root.pem
Removing debian:NetLock_Qualified_=Class_QA=_Root.pem
Removing debian:RSA_Security_2048_v3.pem
Removing debian:Root_CA_Generalitat_Valenciana.pem
Removing debian:S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
Removing debian:Sonera_Class_1_Root_CA.pem
Removing debian:Staat_der_Nederlanden_Root_CA.pem
Removing debian:StartCom_Certification_Authority.pem
Removing debian:StartCom_Certification_Authority_2.pem
Removing debian:StartCom_Certification_Authority_G2.pem
Removing debian:SwissSign_Platinum_CA_-_G2.pem
Removing debian:TC_TrustCenter_Class_3_CA_II.pem
Removing debian:UTN_USERFirst_Email_Root_CA.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
Removing debian:Verisign_Class_3_Public_Primary_Certification_Authority_2.pem
Removing debian:WellsSecure_Public_Root_Certificate_Authority.pem
Removing debian:WoSign.pem
Removing debian:WoSign_China.pem
Removing debian:CA_WoSign_ECC_Root.pem
Removing debian:Certification_Authority_of_WoSign_G2.pem
Removing debian:S-TRUST_Universal_Root_CA.pem
Removing debian:TÜRKTRUST_Elektronik_Sertifika_Hizmet_Sağlayıcısı_H6.pem
done.
done.
답변1
패키지가 악성인 경우 로그 및 수행한 작업에 대한 추적을 삭제하는 등 루트 권한으로 코드를 실행할 수 있는 기회가 이미 있으므로 증거를 찾든 못 찾든 정보에 따라 서버가 손상된 것으로 간주하면 됩니다. 귀하의 정책.
그렇지 않고 @roaima가 언급 /etc/apt/sources.list한 대로 공식 리포지토리만 구성한 경우 /etc/apt/sources.d), 이 이후로 아무런 문제가 없다고 가정할 수 있습니다.패키지 서명됨설치하기 전에 서명을 확인하십시오.
그러나 지금 무언가를 다시 확인하고 싶다면 나열된 해시를 확인할 수 있습니다.여기귀하의 파일을 위해 /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb. 이렇게 하려면 sha256sum /var/cache/apt/archives/ca-certificates_20170717~14.04.1_all.deb문자열을 실행하고 우분투 페이지에 표시된 내용과 문자별로 비교하세요. 정확히 일치하면 이 파일이 설치한 파일이고 Ubuntu에서 가져온 파일이라고 말할 수 있습니다. (Mint는 자체 인증서 패키지를 제공하지 않으므로 검색하여 확인할 수 있습니다.여기).
귀하의 편의를 위해 이 페이지에서 얻은 해시는 입니다 3b464250889051e2da74d123d9d440572158d87583090c75be9eab7c2e330f14.
다시 말하지만, 패키지가 악성이라면 너무 늦습니다. 그렇지 않다면 그대로 두거나 평소대로 삭제를 사용하세요 apt-get remove ca-certificates.
파일을 찾을 수 없다면 로그에서 잘못된 버전을 얻었거나 컴퓨터의 적절한 캐시가 지워져서 다운로드한 항목을 확인하기가 매우 어려울 수 있습니다.
답변2
apt-cache policy ca-certificates패키지가 어디서 오는지 확인하세요 .
sudo apt-get update && sudo apt-get clean && sudo apt-get install --reinstall ca-certificates다시 실행하면 경고가 표시되나요?
apt-key에서 이 경고가 표시되면 패키지를 설치하거나 업데이트하지 않는 것이 가장 좋습니다. 대부분의 경우 그들은 무해합니다.
봉인은 암호화 해시 체인 및 서명과 함께 사용됩니다. 서명된 파일은 Debian 이미지에서 제공하는 릴리스 파일입니다. 여기에는 패키지 파일 목록(압축된 형식, Packages.gz 및 Packages.xz 및 델타 버전 포함)과 해당 MD5, SHA1 및 SHA256 해시가 포함되어 있어 파일이 변조되지 않았는지 확인합니다. 이러한 패키지 파일에는 이미지에서 사용할 수 있는 Debian 패키지 목록과 해당 해시가 포함되어 있어 패키지 자체의 내용이 변경되지 않았음을 보장합니다.
apt-key는 apt가 패키지를 확인하는 데 사용하는 키 목록을 관리하는 데 사용됩니다. 이러한 키를 사용하여 인증된 패키지는 신뢰할 수 있는 것으로 간주됩니다.
맨페이지에서 자세한 내용을 읽어보세요.man apt-key
답변3
구성을 검토하여 패키지가 안전한지 확인할 수 있어야 합니다.
ca-certificates*.deb먼저 apt-cache를 찾아 /var/cache/apt/archive/실행하세요.
md5sum /var/cache/apt/archive/ca-certificates*.deb
매뉴얼 페이지에 따르면뎁섬다음 위치에 있는 파일/md5 해시 목록을 찾아야 합니다 /var/lib/dpkg/info/*.md5sum. 이 파일을 백업하세요. 그런 다음 저장소에서 문제가 되는 deb 파일을 수동으로 가져올 수 있습니다.다운로드한 패키지에 대해 GPG를 확인하세요., 또는저장소에 대한 보안 구성패키지를 다시 설치하십시오. 패키지를 다시 설치한 후(정확히 동일한 버전을 사용해야 함) 다음을 사용할 수 있습니다.
md5sum -c /path.to.backup.md5
(또는 그냥 debsum을 사용하세요)
Debian 패키지의 모든 파일을 나열하고 확인합니다. 차이점을 발견하지 못했다고 가정하면 이전 데비안 패키지의 모든 파일은 현재 /var/cache/apt/archives에 설치된 잘 알려진 최신 deb 소프트웨어를 기반으로 하기 때문에 정품임을 확신할 수 있습니다. 패키지가 확인되었습니다.
이것을 실행하지 마십시오. apt-clean cache그렇지 않으면 deb 패키지가 지워지고 악성 스크립트가 실행되었는지 알 수 없게 됩니다.