Chkrootkit은 의심스러운 파일과 디렉터리를 많이 발견했으며 /sbin/init가 감염되었습니다.

tag-icon tag-icon linux security chkrootkit
Chkrootkit은 의심스러운 파일과 디렉터리를 많이 발견했으며 /sbin/init가 감염되었습니다.

저는 chkrootkitFedora 20 x86_64에서 실행 중입니다. 다음은 의심스러운 결과입니다. 이것이 거짓 긍정인지 아는 사람이 있습니까? 내 시스템이 손상되었나요?

다음은 의심스러운 파일 및 디렉터리입니다.

Searching for suspicious files and dirs, it may take a while... 

/usr/lib/.libgcrypt.so.11.hmac /usr/lib/python2.7/site-packages/martian
/testswithbogusmodules/.bogussubpackage /usr/lib/python2.7/site-packages/fail2ban
/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python2.7/site-
packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib
/python2.7/site-packages/fail2ban/tests/files/config/apache-auth/noentry
/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/apache-
auth/basic/file/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files
/config/apache-auth/basic/file/.htpasswd /usr/lib/python2.7/site-packages/fail2ban
/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python2.7
/site-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner
/.htpasswd /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/apache-
auth/digest_anon/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files
/config/apache-auth/digest_anon/.htpasswd /usr/lib/python2.7/site-packages
/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib
/python2.7/site-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm
/.htpasswd /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/apache-
auth/digest/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files/config
/apache-auth/digest/.htpasswd /usr/lib/python2.7/site-packages/pylons/docs/en
/.gitignore /usr/lib/python2.7/site-packages/pylons/templates/default_project
/+package+/templates/.distutils_placeholder /usr/lib/python2.7/site-packages
/pylons/templates/minimal_project/+package+/templates/.distutils_placeholder
 /usr/lib/.libssl.so.1.0.1e.hmac /usr/lib/.libcrypto.so.1.0.1e.hmac /usr/lib
/.libssl.so.10.hmac /usr/lib/debug/.build-id /usr/lib/debug/usr/.dwz /usr/lib
/debug/.dwz /usr/lib/mono/xbuild-frameworks/.NETFramework /usr/lib
/.libcrypto.so.10.hmac

    /usr/lib/python2.7/site-packages/martian/tests/withbogusmodules
/.bogussubpackage /usr/lib/debug/.build-id /usr/lib/debug/.dwz /usr/lib
/mono/xbuild-frameworks/.NETFramework

그런 다음 이:

Searching for Suckit rootkit... Warning: /sbin/init INFECTED

마침내:

Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1631 tty1   /usr/bin/X :0 vt1 -background none -nolisten tcp -seat seat0 -auth /var/run/kdm/A:0-EiPPra
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected

답변1

chkrootkit은 Suckit이 깨끗한 시스템에서 발견되었다고 믿었고 그 결과 오탐지가 발생한 것으로 보고되었습니다. 이것페도라 오류 보고Fedora 20부터 chkrootkit에 여전히 문제가 있음을 보여줍니다.

아무도 로그인하지 않은 경우(GUI 로그인 프롬프트가 표시되는 경우) X 서버에 utmp 항목이 없는 것은 정상입니다.

따라서 이러한 결과는 시스템이 감염되었음을 의미하지 않습니다. 물론 이것이 시스템이 깨끗하다는 의미는 아닙니다. 잘 만들어진 루트킷은 정의상 감지할 수 없습니다.

관련 정보