La mía apareció como INFECTADA también y no está instalada.
Jason
Respuestas:
36
En esta publicación de los foros de Ubuntu , el usuario kpatz probó esto en una nueva VM 16.10 y chkrootkit todavía se quejó, lo que lo convirtió en un falso positivo. Siempre puede verificar si un archivo ha sido manipulado comparando el md5sum del paquete:
$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK
Por supuesto, el archivo md5sums en sí puede ser manipulado (y también podría md5sumhacerlo, etc.).
Muru, gracias por tan rápido responder! Fue de mucha ayuda. (desafortunadamente el sistema no me deja votar por su reputación. Dice que todavía no tengo permitido hacerlo: (((((
mariner
Al verificar si algo es malicioso o no y compararlo con una versión buena conocida, los MD5 son probablemente los peores hashsums para usar debido a colisiones.
2
En mi caso, ¡usar Ubuntu 18.04 tcpd ni siquiera estaba instalado y se informó que estaba infectado!
Puede intentar cargarlos en sitios para realizar pruebas como virustotal y creo que BitDefender tiene disponible un programa de escáner de rootkit de un minuto (no está seguro de la compatibilidad con múltiples sistemas operativos).
Si tiene un rootkit, no hay forma de saber si es un falso positivo sin documentación sólida como se publicó anteriormente, teniendo en cuenta que un programa malicioso con acceso de root puede ocultarse. Parece estar preocupado, o simplemente está siguiendo la sintaxis de CERRADURAS DE MAYÚSCULAS, pero en el futuro recomendaría bóvedas y copias de seguridad de archivos esenciales (ya sea a través de una nube o una fuente externa que debe tener cuidado para no cruzar infecciones) como bases de datos , fotos familiares, trabajo, videos desagradables, etc.
revise la suma md5 para ver si hay inconsistencias para la basura importante. Que es principalmente cualquier cosa a la que se le pueda otorgar acceso de root o la distribución en sí. Y si está ejecutando una instalación nueva o no le importa hacer una, siempre puede borrarla y verificarla una vez más.
Edición rápida:
BitDefender en realidad no ofrece soporte para nada que no sea Windows. Además, todos los programas antivirus te están minando datos y tu uso de Internet. Código abierto ftw.
sudo chkrootkit tcpdregresainfected?Respuestas:
En esta publicación de los foros de Ubuntu , el usuario kpatz probó esto en una nueva VM 16.10 y chkrootkit todavía se quejó, lo que lo convirtió en un falso positivo. Siempre puede verificar si un archivo ha sido manipulado comparando el md5sum del paquete:
Por supuesto, el archivo md5sums en sí puede ser manipulado (y también podría
md5sumhacerlo, etc.).fuente
Este es un falso positivo causado por un error en el script chkrootkit principal. Traté de publicar la solución aquí, pero me votaron negativamente. Informé el problema a los desarrolladores de chkrootkit, pero si desea solucionar el problema para que realmente funcione, puede consultar: https://www.linuxquestions.org/questions/linux-security-4/ chkrootkit-tcpd-521683 / page2.html # post5788733
fuente
El mío también figuraba como "INFECTADO" (Ubuntu 18.10) ... así que verifiqué tcpd mediante la utilidad debsums, es decir:
Fue catalogado como "OK".
fuente
Puede intentar cargarlos en sitios para realizar pruebas como virustotal y creo que BitDefender tiene disponible un programa de escáner de rootkit de un minuto (no está seguro de la compatibilidad con múltiples sistemas operativos).
Si tiene un rootkit, no hay forma de saber si es un falso positivo sin documentación sólida como se publicó anteriormente, teniendo en cuenta que un programa malicioso con acceso de root puede ocultarse. Parece estar preocupado, o simplemente está siguiendo la sintaxis de CERRADURAS DE MAYÚSCULAS, pero en el futuro recomendaría bóvedas y copias de seguridad de archivos esenciales (ya sea a través de una nube o una fuente externa que debe tener cuidado para no cruzar infecciones) como bases de datos , fotos familiares, trabajo, videos desagradables, etc.
revise la suma md5 para ver si hay inconsistencias para la basura importante. Que es principalmente cualquier cosa a la que se le pueda otorgar acceso de root o la distribución en sí. Y si está ejecutando una instalación nueva o no le importa hacer una, siempre puede borrarla y verificarla una vez más.
Edición rápida: BitDefender en realidad no ofrece soporte para nada que no sea Windows. Además, todos los programas antivirus te están minando datos y tu uso de Internet. Código abierto ftw.
tl; dr sobre la naturaleza insidiosa de los rootkits y la facilidad con la que se propagan.
fuente