chkrootkitコマンドの出力がわかりません。
$ chkrootkit -q -r /
/usr/lib/.libssl.so.10.hmac
/usr/lib/.libfipscheck.so.1.hmac
/usr/lib/firefox-3.6/.autoreg
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libssl.so.1.0.0d.hmac
/lib/.libcrypto.so.1.0.0d.hmac
/lib/.libgcrypt.so.11.hmac
/lib/.libcrypto.so.10.hmac
/proc/2980/fd/129: No such file or directory
どういう意味ですか?
答え1
.*.hmac書類一部の暗号化ソフトウェアの署名ファイルです。、生産フィリップチェック。彼らの存在について疑わしいことはありません。彼らはそうだ一般的な 間違った 肯定的な側面Fedoraのchkrootkitから。
ファイルはfirefox-3.6/.autoregFirefoxの一般的な部分であり、次のことができます。いいえ これ 最初これに関するchkrootkitの苦情を見てください。
/proc/2980/fd/129chkrootkit がファイルにアクセスしている間に、プロセス 2980 がファイルをクローズまたは終了したため、この現象は発生しなかった可能性があります。
なしでより多くの情報を得ることができます-q。
これは誤った可能性があります。一方、chkrootkitを知っている攻撃者は、既知の一般的な誤検出の1つに意図的にマルウェアを植える可能性があります。クレイジーな観点からは、チェックしているシステムでchkrootkitを実行することはほとんど役に立ちません。よく書かれたマルウェアはカーネルに侵入し、chkrootkitや他の侵入またはマルウェア検出ツールにすべてが正常に見えるように配置します。
答え2
「該当するファイルはありません」というエラーは、単に何かを見つけることを期待していましたが、見つからなかったことを意味します。この場合、システムプロセスは実行中ですが、それに関連するプロセスエントリを確認しようとすると、そのプロセスはありません。これは、プロセスが隠されていて悪いことを意味する可能性があります。
他のファイルは、chkrootkitが疑わしいと見なして調査する必要があるシステムのファイルです。[編集する:]この場合、主にドットで始まりますが、追加の拡張子を持つライブラリファイルです。これらのファイルが何であるかを調べて、そのファイルがどこから来たのかを調べてください。