薄荷19 tcpd感染sha1sum

Question

当我使用rkhunter时，它总是显示两个警告和可能的4个rootkit信息：

Checking for suspicious (large) shared memory segments   [ Warning ]
Checking for hidden files and directories                [ Warning ]
File properties checks...
    Files checked: 149
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 480
    Possible rootkits: 4

Applications checks...
    All checks skipped

剩下的没问题。使用chkrootkit，我总是只收到一个警告: tcpd感染。我用：

sudo sha1sum /usr/sbin/tcpd

答案是：

9ee346a9400f52e16576db35c310a72af391e199  /usr/sbin/tcpd

我发现它应该是：

cd9cfc19df7f0e4b7f9adfa4fe8c5d74caa53d86  /usr/sbin/tcpd

我的系统被感染了吗？我有Linux 19伙计。

Answer 1

您应该在每次更新之前运行rkhunter和chkrootkit，然后运行rkhunter --propupd和chkrootkit --update。这是为了避免假阳性。不幸的是，如果你不以这种方式使用这些工具，你就无法知道你是否感染了这些工具。

• 您已经指出，sha1sums在手动比较它们时不匹配，这表明它很可能被篡改或感染。
• 我会备份重要的文件和擦除/零填充和重新安装系统。然后按描述运行检查。(这确实保证了感染被清除！)
• 如果您不能或不希望这样做，您只需删除受感染的文件/文件，并将已知的干净版本放在那里。(这并不能保证感染被清除！)