apt-install新しくインストールされたUbuntu Server 16.04.3にchkrootkitをインストールしました。
chkrootkitを初めて実行した後、疑わしいファイルとディレクトリが見つかりました。
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
私は3年前にstackexchangeの他のユーザーが同じ偽の肯定を見つけて投稿したことを発見しました。Chkrootkitは多数の疑わしいファイルとディレクトリを発見し、/sbin/initに感染しました。。
存在するFAQ 8番公式のchkrootkitウェブサイトでは、chkrootkitが特定のファイルとディレクトリを無視することを知っているため、攻撃者がこの機能を使用できるため、偽の肯定をホワイトリストに登録できないと述べています。
この長いファイルとディレクトリのリストで何をすることをお勧めしますか?誤検知かどうか確認するには?偽の肯定の場合、そのファイルを元のコンテンツ(同じパッケージを使用dpkg -V)と比較する方法はありますか?
ベストアンサー1
ホワイトリストは通常、明らかな理由で使用されなくなりました(また参照)。chkrootkit FAQ #8)。
ただし、具体的にお問い合わせいただいた通りに述べた方法があります(Debian を使用)。 chkrootkitで潜在的なFPを処理する方法もちろん、あなたは自分の責任で評価し監修する必要があります。
/usr/sbin/chkrootkit | /bin/grep -vf /usr/local/share/chkrootkit/ignore-fp.txt
どこ/usr/local/share/chkrootkit/ignore-fp.txt無視する正規表現やファイルを保存します。
Debianを使用すると、既知の良いインストールファイルを確認できます。
/usr/bin/debsums -sa
プロファイルチェック(「-a」)を含み、エラーのみを報告します「-s」)、cfデス島を使う。
いつものように常識を活用し、多くの時間を投資し、慎重に調査してみてください。この分野では、主導権を握って事前に行動することが重要です。システムを強化するためのベストプラクティスは、Web全体で見つけることができます。多くの調査を行い、1つまたは1つ目のチェックリストに限定しないでください。すべてを把握するには、絶え間ない努力が必要です。合計:この場合、ホワイトリスト登録は良い方法ではないようです。
ファタイ