chkrootkit muestra "tcpd" como INFECTADO. ¿Es un falso positivo?

25

Escanear por chkrootkit muestra "tcpd" como INFECTADO. Aunque un escaneo por rkhunter muestra ok, (excepto los falsos positivos regulares)

¿Debo estar preocupado? (Estoy en Ubuntu 16.10 con 4.8.0-37-generic)

marinero
fuente
muru, gracias! ¡Eso ayudo! ps ¿Cómo voto por la reputación de un usuario? (usted en este caso)
marinero
Eso fue solo un comentario. Publicaré una respuesta en un momento, que puede aceptar, si lo desea.
muru
¿El escaneo directo sudo chkrootkit tcpdregresa infected?
naXa
1
La mía apareció como INFECTADA también y no está instalada.
Jason

Respuestas:

36

En esta publicación de los foros de Ubuntu , el usuario kpatz probó esto en una nueva VM 16.10 y chkrootkit todavía se quejó, lo que lo convirtió en un falso positivo. Siempre puede verificar si un archivo ha sido manipulado comparando el md5sum del paquete:

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

Por supuesto, el archivo md5sums en sí puede ser manipulado (y también podría md5sumhacerlo, etc.).

muru
fuente
1
Muru, gracias por tan rápido responder! Fue de mucha ayuda. (desafortunadamente el sistema no me deja votar por su reputación. Dice que todavía no tengo permitido hacerlo: (((((
mariner
Al verificar si algo es malicioso o no y compararlo con una versión buena conocida, los MD5 son probablemente los peores hashsums para usar debido a colisiones.
2
En mi caso, ¡usar Ubuntu 18.04 tcpd ni siquiera estaba instalado y se informó que estaba infectado!
Philippe Delteil
0

El mío también figuraba como "INFECTADO" (Ubuntu 18.10) ... así que verifiqué tcpd mediante la utilidad debsums, es decir:

sudo debsums | grep tcpd

Fue catalogado como "OK".

Jay Marm
fuente
0

Puede intentar cargarlos en sitios para realizar pruebas como virustotal y creo que BitDefender tiene disponible un programa de escáner de rootkit de un minuto (no está seguro de la compatibilidad con múltiples sistemas operativos).

Si tiene un rootkit, no hay forma de saber si es un falso positivo sin documentación sólida como se publicó anteriormente, teniendo en cuenta que un programa malicioso con acceso de root puede ocultarse. Parece estar preocupado, o simplemente está siguiendo la sintaxis de CERRADURAS DE MAYÚSCULAS, pero en el futuro recomendaría bóvedas y copias de seguridad de archivos esenciales (ya sea a través de una nube o una fuente externa que debe tener cuidado para no cruzar infecciones) como bases de datos , fotos familiares, trabajo, videos desagradables, etc.

revise la suma md5 para ver si hay inconsistencias para la basura importante. Que es principalmente cualquier cosa a la que se le pueda otorgar acceso de root o la distribución en sí. Y si está ejecutando una instalación nueva o no le importa hacer una, siempre puede borrarla y verificarla una vez más.

Edición rápida: BitDefender en realidad no ofrece soporte para nada que no sea Windows. Además, todos los programas antivirus te están minando datos y tu uso de Internet. Código abierto ftw.

tl; dr sobre la naturaleza insidiosa de los rootkits y la facilidad con la que se propagan.

avisitoritseems
fuente