chkrootkit বলেছেন / sbin / init সংক্রামিত, এর অর্থ কী?

30

আমি সম্প্রতি দৌড়েছি chkrootkitএবং নিম্নলিখিত লাইনটি পেয়েছি:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

তুমি আসলে কি বোজাতে ছাচ্ছ? আমি শুনেছি এটি একটি মিথ্যা ইতিবাচক ছিল, ঠিক কী ঘটছে।

অনুগ্রহ করে এবং ধন্যবাদ.

10.04 security rootkit

— myusuf3
সূত্র

34

Chkrootkit- এ একটি বাগ আছে বলে সম্ভবত এটি একটি মিথ্যা ইতিবাচক (সম্ভবত পরবর্তী সংস্করণ 0.50-3ubuntu1 এ সংশোধন করা হয়েছে)। দৃশ্যত chkrootkit একটি কঠোর পর্যায়ে চেক সঞ্চালন করে না।

দেখুন: https://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

অতিরিক্ত হিসাবে আপনি rkunter চেষ্টা করতে পারেন যা chkrootkit এর অনুরূপ।

আরও কিছু তথ্য: সৌভাগ্যক্রমে, চলমান ফাইল - যা chkrootkit` আমাদের দেখায় যে chkrootkit কেবল একটি শেল স্ক্রিপ্ট তাই আমরা এটি সরাসরি পরিদর্শন করতে পারি।

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

মূল লাইনটি হ'ল:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

উবুন্টুর সাম্প্রতিক সংস্করণ থেকে, এই আদেশটি চালানো কিছু আউটপুট তৈরি করে (রুট বা সুডো হিসাবে চালানো দরকার):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

তবে এটি কোনও রুটকিট দ্বারা সংক্রমণ নয়। আমি আরখুন্টার কোডটিও দেখেছি এবং চেকগুলি আরও বেশি কঠোর (রুটকিট দ্বারা ইনস্টল করা সমস্ত ধরণের অতিরিক্ত ফাইলগুলির পরীক্ষার জন্য)।

আমি / চেক / 1 / মানচিত্র পরীক্ষা করতে চেক না করার জন্য চক্রোথকিট ফাইলে 1003,1004 লাইন পরিবর্তন করেছি (প্রথমে একটি অনুলিপি নিতে ভুলবেন না)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1

— সাইমন বি
সূত্র

4

এটি V0.49 এ প্রযোজ্য যেমন অ্যাপটি-গেট দ্বারা ইনস্টল করা হয়েছে। দেখে মনে হচ্ছে chkrootkit 0.50 ( chkrootkit.org থেকে সরাসরি পাওয়া যায় ) এই মিথ্যা ধনাত্মকটিকে স্থির করে।

— কুইগ

যদি আপনি জানতে চান যে ওবুন্টুটি কোন সংস্করণে আসে তখন একবার দেখুন: প্যাকেজস.উবন্টু.

— ouডোর্ড লোপেজ

সমস্যা সমাধানের সময় এটি অনুসন্ধানে উপস্থিত হওয়ার কারণে, আমি উল্লেখ করতে চেয়েছিলাম যে এখানে অতিরিক্ত তথ্যের সাথে আরও একটি আলোচনা রয়েছে: Askubuntu.com

— কোডি শার্প

2

2013-07-31 পর্যন্ত কুবুন্টু 13.04 এ

চলমান:

cat /sbin/init | egrep HOME

উত্পাদন:

Binary file (standard input) matches

এবং

চলমান:

cat /proc/1/maps | egrep "init."

কোন আউটপুট উত্পাদন করে।

দ্রষ্টব্য: পিরিয়ড সরিয়ে আউটপুট উত্পাদন করে ("init।" থেকে "init" তে পরিবর্তন করা)

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

সুতরাং এটি আমার কাছে উপস্থিত অংশটি যাচাই করা সমস্যা বলে মনে হচ্ছে।

যদি কেউ এই ধারণাটি করতে পারেন যে রখুন্টারের একটি বৈধ চেক আছে, তবে সম্ভবত সহজ রুটটি কেবল এই বিভাগটি চক্রোতকিট থেকে সরিয়ে আরখুনটার এবং চক্রোতকিত উভয়ই চালানো যায়?

— user180342
সূত্র

1

আমার উবুন্টু 14.04 32 বিট এ একই আছে। আমি যদি চেষ্টা strings /sbin/init | grep HOMEকরি XDG_CACHE_HOME and XDG_CONFIG_HOMEতবে তা কি এখনও একটি মিথ্যা ইতিবাচক? / Hbin / initে "HOME" স্ট্রিংটি অনুসন্ধান করার উদ্দেশ্য কী? কেন এটি ইতিবাচক হওয়া উচিত?

— rubo77