Назад | Перейти на главную страницу

Может быть, «chkrootkit» просто не нравится файлы .hmac, .packlist и .relocation-tag?

Я только что почистил свой взломанный сервер CentOS (из-за того, что не обновлялся с версино 5.3). Но все же chkrootkit говорит так:

Possible t0rn v8 \(or variation\) rootkit installed

/usr/lib/.libfipscheck.so.1.1.0.hmac 
/usr/lib/.libgcrypt.so.11.hmac 
/usr/lib/.libfipscheck.so.1.hmac 
/lib/.libcrypto.so.0.9.8e.hmac 
/lib/.libssl.so.0.9.8e.hmac 
/lib/.libssl.so.6.hmac 
/lib/.libcrypto.so.6.hmac

/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist 
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist 
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist 

/usr/lib/gtk-2.0/immodules/.relocation-tag 
/usr/lib/python2.4/plat-linux2/.relocation-tag 
/usr/lib/python2.4/distutils/.relocation-tag 
/usr/lib/python2.4/config/.relocation-tag

Может быть, chkrootkit просто не любит файлы .hmac, .packlist и .relocation-tag?

Они действительно все еще заражены?

Я совершенно не верю в «очистку» скомпрометированного сервера и считаю вариант «ядерной бомбы с орбиты» единственным выходом.

В любом случае, единственный способ решить, являются ли эти файлы законными, - это сравнить контрольные суммы этих файлов с контрольными суммами известных хороших файлов при чистой установке, но я думаю, что тот факт, что имена файлов этих библиотек добавлены . скрыть их в нормальном ls поводов для беспокойства более чем достаточно.

С www.chkrootkit.org:

"В: chkrootkit сообщает о некоторых файлах и каталогах как о подозрительных: .packlist, .cvsignore и т. Д. Это явно ложные срабатывания. Разве вы не можете их игнорировать?

О: Игнорирование некоторых файлов и каталогов может снизить точность chkrootkit. Злоумышленник может использовать это, поскольку он знает, что chkrootkit игнорирует определенные файлы и каталоги ".