私はchkrootkit
Fedora 20 x86_64で動作しています。以下は疑わしい結果です。これが偽の肯定かどうかを知っている人はいますか?私のシステムが破損していますか?
以下は疑わしいファイルとディレクトリです。
Searching for suspicious files and dirs, it may take a while...
/usr/lib/.libgcrypt.so.11.hmac /usr/lib/python2.7/site-packages/martian
/testswithbogusmodules/.bogussubpackage /usr/lib/python2.7/site-packages/fail2ban
/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python2.7/site-
packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib
/python2.7/site-packages/fail2ban/tests/files/config/apache-auth/noentry
/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/apache-
auth/basic/file/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files
/config/apache-auth/basic/file/.htpasswd /usr/lib/python2.7/site-packages/fail2ban
/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python2.7
/site-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner
/.htpasswd /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/apache-
auth/digest_anon/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files
/config/apache-auth/digest_anon/.htpasswd /usr/lib/python2.7/site-packages
/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib
/python2.7/site-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm
/.htpasswd /usr/lib/python2.7/site-packages/fail2ban/tests/files/config/apache-
auth/digest/.htaccess /usr/lib/python2.7/site-packages/fail2ban/tests/files/config
/apache-auth/digest/.htpasswd /usr/lib/python2.7/site-packages/pylons/docs/en
/.gitignore /usr/lib/python2.7/site-packages/pylons/templates/default_project
/+package+/templates/.distutils_placeholder /usr/lib/python2.7/site-packages
/pylons/templates/minimal_project/+package+/templates/.distutils_placeholder
/usr/lib/.libssl.so.1.0.1e.hmac /usr/lib/.libcrypto.so.1.0.1e.hmac /usr/lib
/.libssl.so.10.hmac /usr/lib/debug/.build-id /usr/lib/debug/usr/.dwz /usr/lib
/debug/.dwz /usr/lib/mono/xbuild-frameworks/.NETFramework /usr/lib
/.libcrypto.so.10.hmac
/usr/lib/python2.7/site-packages/martian/tests/withbogusmodules
/.bogussubpackage /usr/lib/debug/.build-id /usr/lib/debug/.dwz /usr/lib
/mono/xbuild-frameworks/.NETFramework
それからこれ:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
ついに:
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 1631 tty1 /usr/bin/X :0 vt1 -background none -nolisten tcp -seat seat0 -auth /var/run/kdm/A:0-EiPPra
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
答え1
chkrootkitはSuckitがきれいなシステムで発見されたと信じており、その結果誤検出が発生したと報告されています。これFedoraのエラー報告Fedora 20以降、chkrootkitにまだ問題があることを示しています。
誰もログインしていない場合(GUIログインプロンプトが表示された場合)、Xサーバーにutmpエントリがないのは正常です。
したがって、これらの結果は、システムが感染したことを意味しません。もちろん、これはシステムがきれいであるという意味ではありません。うまく作成されたルートキットは定義上検出できません。