Cześć, przeskanowałem dzisiaj dość świeżo postawionego Ubuntu (2 dni temu) chrootkidem i wykrył rootkida Suckit + kilka innych śmieci, z kolei Rootkit Hunter też coś wykrył.
Jak to usunąć? Pomożecie?
Log z Chrootkid:
Log z Rootkit Hunter:
Usunać można poprzez reinstalacje systemu, bo jak napisałeś że wgrałęś go dwa dni temu, wieć niepowinneś mieć na komputerze
dużo plików. A po reinstalacji od razu wykonaj:
sudo su
apt-get update && apt-get upgrade
A na przyszłość korzystaj z Snort(a) http://pl.docs.pld-linux.org/uslugi_snort.html jest programik, który umożliwia stworzenie kopii
zapasowej linuxa oraz jej przyszłe przywrócenie, a na dodatek monitoruje stan twojego komputera w czasie rzeczywistym. Więc
gdy są to rookity a nie fałszywe alarmy to snort je skutecznie zablokuje.
Aha a skąd pobierałęś obraz Ubuntu? Bo wątpie aby Cannoical udostępiał zainfekowane ISO.
Każdy program na linuxie aby się właczył musi mieć twoją akceptacje, lub być jakoś powiązany
z systemem. Zmierzam do tego, żę mogłeś coś zainfekowanego przez przypadek włączyć?
Z ciekawości przeskanowałem chkrootkit swojego Netrunnera_roling i mam dokładnie tego samego śmiecia.Co ciekawsze, to
/sbin/init
jest tylko dowiązaniem do
/lib/systemd/systemd
Dlaczego więc skaner nie wykrywa zagrożenia bezpośrednio w pliku, tylko w dowiązanu?
Dowiązanie to tylko skrót, dziwne, może coś siedzi w systemd, zamontuj squashfs ubuntu i go zeskanuj?
Ale ja nie mam ubuntu…To po pierwsze, po drugie, są prostsze sposoby na sprawdzenie “prawdziwości” infekcji.Wystarczy odpalić płyte z której instalowało się system i przeskanować.O ile sumy kontrolne obrazu się zgadzają, a problem występuje również w sesji live, to raczej jesz fałszywy alarm.Tak jest u mnie.Dodatkowo sprawdziłem jeszcze 2 inne distra (Netrunner 14 Frontier i Neon z KDE5).Na nich również był komunikat
Wdług mnie to jest jakiś błąd programu chrootkit…
Ubuntu pobrałem z oficjalnej strony - http://www.ubuntu.com/download
Biorąc pod uwagę to:
Możliwe, że zainfekowana była Java, którą instalowałem z tego poradnika - http://www.webupd8.org/2012/09/install-oracle-java-8-in-ubuntu-via-ppa.html.
Da się to jakoś usunąć bez reinstalacji?
Szczególnie to mnie martwi:
Usunięcie Javy:
sudo su
apt-get remove oracle-java8-installer
apt-get remove oracle-java8-set-default
Instalacja OpenJDK:
sudo su
apt-get install openjdk-7-jre
apt-get install openjdk-7-jdk
apt-get install icedtea6-plugin
[17:08:12] Warning: Hidden directory found: /etc/.java: directory
[17:08:12] Warning: Hidden directory found: /dev/.udev: directory
[17:08:12] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Według mnie tym się nie powinneś przejmować, ponieważ są to tylko ostrzeżenia że jakiś katalog/plik jest ukryty,
a tego nie jestem pewny:
[17:07:56] /usr/bin/unhide.rb [Warning]
[17:07:56] Warning: The command '/usr/bin/unhide.rb' has been
replaced by a script: /usr/bin/unhide.rb: Ruby script,
ASCII text
[17:08:12] Checking /dev for suspicious file types [Warning]
[17:08:12] Warning: Suspicious file types found in /dev:
[17:08:12] /dev/.udev/rules.d/root.rules: ASCII text
[17:08:12] Checking for hidden files and directories [Warning]