chkrootkit명령의 출력을 이해할 수 없습니다 .
$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory
무슨 뜻이에요?
답변1
.*.hmac서류일부 암호화 소프트웨어의 서명 파일입니다., 생산필립체크. 그들의 존재에 대해 의심스러운 것은 없습니다. 그들은 것 같다흔한 잘못된 긍정적인 측면Fedora의 chkrootkit에서.
파일은 firefox-3.6/.autoregFirefox의 일반적인 부분이며 다음을 수행할 수 있습니다.아니요 이것 첫 번째이에 대한 chkrootkit의 불만 사항을 살펴보십시오.
/proc/2980/fd/129chkrootkit이 파일에 액세스하는 동안 프로세스 2980이 파일을 닫았거나 종료했기 때문에 이러한 현상이 발생하지 않았을 수 있습니다.
없이도 더 많은 정보를 얻을 수 있습니다 -q.
이는 오탐일 가능성이 높습니다. 반면에 chkrootkit을 알고 있는 공격자는 알려진 일반적인 오탐지 중 하나에 의도적으로 악성 코드를 심을 수 있습니다. 미친 관점에서 보면 검사 중인 시스템에서 chkrootkit을 실행하는 것은 거의 쓸모가 없습니다. 잘 작성된 악성 코드는 커널에 침입하여 chkrootkit 및 기타 침입 또는 악성 코드 탐지 도구에 모든 것이 정상적으로 보이도록 배열합니다.
답변2
"해당 파일 없음" 오류는 단순히 무언가를 찾을 것으로 예상했지만 찾지 못했음을 의미합니다. 이 경우 시스템 프로세스가 실행 중이지만 이와 관련된 프로세스 항목을 확인하려고 하면 해당 프로세스가 없습니다. 이는 프로세스가 숨겨져 있고 나쁘다는 것을 의미할 수도 있고, 보기 전에 자연스럽게 멈췄다는 의미일 수도 있습니다.
다른 파일은 chkrootkit이 의심스러운 것으로 간주하여 조사해야 하는 시스템의 파일입니다.[편집하다:]이 경우 주로 점으로 시작하지만 추가 확장자를 갖는 라이브러리 파일입니다. 이러한 파일이 무엇인지 찾아보고 해당 파일이 어디서 왔는지 알아보세요.