chkrootkit affiche «tcpd» comme INFECTED. Est-ce un faux positif?

25

L'analyse par chkrootkit montre que "tcpd" est INFECTE. Bien qu'un scan par rkhunter montre ok, (sauf pour les faux positifs réguliers)

Dois-je m'inquiéter? (Je suis sur Ubuntu 16.10 avec 4.8.0-37-générique)

marin
la source
muru, merci! Ça m'a aidé! ps Comment puis-je voter pour la réputation d'un utilisateur? (vous dans ce cas)
marin
Ce n'était qu'un commentaire. Je posterai une réponse dans un instant, que vous pouvez accepter si vous le souhaitez.
muru le
Le scan direct sudo chkrootkit tcpdrevient-il infected?
naXa
1
Le mien est également apparu comme INFECTED et il n'est pas installé.
Jason

Réponses:

36

Dans ce message sur les forums Ubuntu , l'utilisateur kpatz l'a testé dans une nouvelle machine virtuelle 16.10 et chkrootkit s'est toujours plaint, ce qui en fait un faux positif. Vous pouvez toujours vérifier si un fichier a été falsifié en comparant la somme md5 du package:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Bien sûr, le fichier md5sums lui-même peut être altéré (et il en est de md5summême pour lui-même, etc.)

muru
la source
1
Muru, merci pour une réponse aussi rapide! C'était vraiment utile. (Malheureusement, le système ne me laissera pas voter pour votre réputation. Il dit que je n'y suis pas encore autorisé: (((((
mariner
Lorsque vous vérifiez si quelque chose est malveillant ou non et si vous le comparez à une bonne version connue, les MD5 sont probablement les pires hashs à utiliser en raison de collisions.
2
Dans mon cas, l'utilisation d'Ubuntu 18.04 tcpd n'était même pas installée et elle a été signalée comme infectée!
Philippe Delteil
7

Il s'agit d'un faux positif provoqué par un bogue dans le script chkrootkit principal. J'ai essayé de publier le correctif ici, mais j'ai été rétrogradé. J'ai signalé le problème aux développeurs chkrootkit, mais si vous souhaitez résoudre le problème afin qu'il fonctionne réellement, vous voudrez peut-être vérifier: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733


la source
0

Le mien était également répertorié comme "INFECTED" (Ubuntu 18.10) ... donc j'ai recoupé tcpd en utilisant l'utilitaire debsums c'est-à-dire:

sudo debsums | grep tcpd

Il était répertorié comme "OK".

Jay Marm
la source
0

Vous pouvez essayer de les télécharger sur des sites pour des tests comme virustotal et je crois que BitDefender a un programme de scanner de rootkit d'une minute disponible (incertain de la prise en charge multi OS).

Si vous avez un rootkit, il n'y a aucun moyen de savoir s'il s'agit d'un faux positif sans documentation solide comme cela a été posté ci-dessus, étant donné qu'un programme malveillant avec un accès root peut se cacher. Vous semblez être inquiet, ou suivez simplement la syntaxe de CAPS LOCKS, mais à l'avenir, je recommanderais de sauvegarder et de sauvegarder les fichiers essentiels (soit via un cloud ou un externe que vous devez prendre soin de ne pas infecter) comme les bases de données , photos de famille, travail, vidéos peu recommandables, etc.

vérifier la somme md5 pour les incohérences pour la jonque importante. Ce qui est principalement tout ce qui peut avoir un accès root ou la distribution elle-même. Et si vous exécutez une nouvelle installation ou si cela ne vous dérange pas, vous pouvez toujours effacer et vérifier une fois de plus.

Modification rapide: BitDefender n'offre pas de support pour autre chose que Windows. Sidenote, tous les programmes antivirus vous examinent, vous et votre utilisation d'Internet. Ftw open source.

tl; dr sur la nature insidieuse des rootkits et leur facilité de propagation.

avisitoritseems
la source