chkrootkit dit que / sbin / init est infecté, qu'est-ce que cela signifie?

28

J'ai récemment lancé chkrootkit et obtenu la ligne suivante:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

Qu'est-ce que cela signifie exactement? J'ai entendu que c'était un faux positif, ce qui se passe exactement.

Merci et merci.

    
posée myusuf3 07.02.2011 - 17:56
la source

2 réponses

33

Il est probable que ce soit un faux positif car il y a un bogue dans chkrootkit (censé être corrigé dans une version ultérieure 0.50-3ubuntu1). Apparemment, chkrootkit n'effectue pas une vérification suffisamment rigoureuse.

Voir: lien

En outre, vous pouvez essayer rkhunter, qui est similaire à chkrootkit.

Quelques informations supplémentaires: Heureusement, l'exécution de fichier 'que chkrootkit' nous montre que chkrootkit n'est qu'un script shell, nous pouvons donc l'inspecter directement.

Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

La ligne clé est la suivante:

cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

Depuis les versions récentes d’Ubuntu, l’exécution de cette commande produit des résultats (qui doivent être exécutés en tant que root ou sudo):

# sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

Cependant, ce n’est pas une infection par un rootkit. J'ai également examiné le code rkhunter, et les vérifications sont beaucoup plus rigoureuses (test de toutes sortes de fichiers supplémentaires installés par le rootkit).

J'ai changé les lignes 1003,1004 dans le fichier chkrootkit pour ne pas vérifier le contrôle de / proc / 1 / maps (n'oubliez pas de prendre d'abord une copie)

if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1
    
réponse donnée Simon B 07.02.2011 - 17:59
la source
2

Sur Kubuntu 13.04 à partir de 2013-07-31

En cours d'exécution:

cat /sbin/init | egrep HOME

Produit:

Binary file (standard input) matches

ET

En cours d'exécution:

cat /proc/1/maps | egrep "init."

Produit aucune sortie.

Remarque: La suppression de la période produit une sortie (en remplaçant "init" par "init")

b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

Il me semble donc que la vérification des pièces est le problème.

Si l’on peut supposer que rkhunter a une vérification valide, alors peut-être que la solution la plus simple consiste simplement à supprimer cette section de chkrootkit et à exécuter à la fois rkhunter et chkrootkit?

    
réponse donnée user180342 01.08.2013 - 05:49
la source

Lire d'autres questions sur les étiquettes