Может быть, "chkrootkit" просто не любит файлы.hmac, .packlist и.relocation-tag?
Я только что очистил свой взломанный сервер CentOS (из-за отсутствия обновлений с версии 5.3). Но все же "чкрооткит" говорит так:
Possible t0rn v8 \(or variation\) rootkit installed
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libgcrypt.so.11.hmac
/usr/lib/.libfipscheck.so.1.hmac
/lib/.libcrypto.so.0.9.8e.hmac
/lib/.libssl.so.0.9.8e.hmac
/lib/.libssl.so.6.hmac
/lib/.libcrypto.so.6.hmac
/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist
/usr/lib/gtk-2.0/immodules/.relocation-tag
/usr/lib/python2.4/plat-linux2/.relocation-tag
/usr/lib/python2.4/distutils/.relocation-tag
/usr/lib/python2.4/config/.relocation-tag
Может быть, "chkrootkit" просто не любит файлы.hmac,.packlist и.relocation-tag?
Эти действительно все еще заражены?
2 ответа
Я совсем не верю в "очистку" скомпрометированного сервера и считаю вариант "ядерное оружие с орбиты" единственным выходом.
В любом случае, единственный способ решить, являются ли эти файлы легитимными, состоит в том, чтобы сравнить контрольные суммы этих файлов с контрольными суммами известных файлов в чистой установке, но я думаю, что перед именами этих библиотек добавляется . чтобы скрыть их в нормальном ls это более чем достаточно поводов для беспокойства.
С www.chkrootkit.org:
"Q: chkrootkit сообщает о некоторых файлах и каталогах как о подозрительных: .packlist, .cvsignore и т. Д. Это явно ложные срабатывания. Разве вы не можете их игнорировать?
A: Игнорирование некоторых файлов и папок может ухудшить точность chkrootkit. Злоумышленник может использовать это, поскольку он знает, что chkrootkit будет игнорировать определенные файлы и директории."