主页 / ubuntu / 问题 / 25176
Accepted
myusuf3
Asked: 2011-02-08 08:56:18 +0800 CST

chkrootkit 说 /sbin/init 被感染了,这是什么意思?

  • 772

我最近跑chkrootkit并得到以下行:

Searching for Suckit rootkit...                   Warning: /sbin/init INFECTED

这到底是什么意思?我听说这是一个误报,到底发生了什么。

谢谢,麻烦您了。

10.04

2 个回答

  1. Best Answer

    这很可能是误报,因为 chkrootkit 中有一个错误(据说在更高版本 0.50-3ubuntu1 中已修复)。显然 chkrootkit 没有执行足够严格的检查。

    见: https ://bugs.launchpad.net/ubuntu/+source/chkrootkit/+bug/454566

    此外,您可以尝试类似于 chkrootkit 的 rkhunter。

    更多信息:幸运的是,运行文件 `which chkrootkit`告诉我们 chkrootkit 只是一个 shell 脚本,因此我们可以直接检查它。

    Searching for Suckit in the file /usr/sbin/chkrootkit we find:
   ### Suckit
   if [ -f ${ROOTDIR}sbin/init ]; then
      if [ "${QUIET}" != "t" ];then printn "Searching for Suckit rootkit... "; fi
      if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  || \
              cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1
        then
        echo "Warning: ${ROOTDIR}sbin/init INFECTED"
      else
         if [ -d ${ROOTDIR}/dev/.golf ]; then
            echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"
         else
            if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
         fi
      fi
   fi

    关键线是:

    cat ${ROOTDIR}/proc/1/maps | ${egrep} "init."

    由于最新版本的 Ubuntu,运行该命令确实会产生一些输出(需要以 root 或 sudo 身份运行):

    # sudo cat /proc/1/maps | egrep "init."
b78c2000-b78db000 r-xp 00000000 08:02 271571     /sbin/init (deleted)
b78db000-b78dc000 r--p 00019000 08:02 271571     /sbin/init (deleted)
b78dc000-b78dd000 rw-p 0001a000 08:02 271571     /sbin/init (deleted)

    但是,这不是 rootkit 的感染。我还查看了 rkhunter 代码,检查更加严格(测试由 rootkit 安装的各种附加文件)。

    我在 chkrootkit 文件中更改了第 1003,1004 行,不检查执行 /proc/1/maps 的检查(记得先复制)

    if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME  ) \
             >/dev/null 2>&1
    • 35

  2. 截至 2013 年 7 月 31 日,在 Kubuntu 13.04 上

    跑步:

    cat /sbin/init | egrep HOME

    产生:

    Binary file (standard input) matches

    跑步:

    cat /proc/1/maps | egrep "init."

    不产生输出。

    注意:删除句点会产生输出(将“init.”更改为“init”)

    b7768000-b779f000 r-xp 00000000 08:02 399192     /sbin/init
b779f000-b77a0000 r--p 00036000 08:02 399192     /sbin/init
b77a0000-b77a1000 rw-p 00037000 08:02 399192     /sbin/init

    所以在我看来,检查 HOME 的部分是问题所在。

    如果可以假设 rkhunter 进行了有效检查,那么简单的方法可能就是从 chkrootkit 中删除这一部分并同时运行 rkhunter 和 chkrootkit?

    • 2

相关问题