Wenn ich das mache, rkhunter --checkwird mir angezeigt, dass ich mögliche Rootkits habe:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: unerwarteter Operator
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: unerwarteter Operator
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: unerwarteter Operator
Überprüfung auf verdächtige (große) gemeinsam genutzte Speichersegmente [ Warnung ]
/var/log/rkhunter.logzeig mir das:
Warnung: Die folgenden verdächtigen (großen) gemeinsam genutzten Speichersegmente wurden gefunden: [21:17:06] Prozess: /usr/lib/firefox/firefox (gelöscht) PID: 9750 Besitzer: louie Größe: 4,0MB (konfigurierte zulässige Größe: 1,0MB) [21:17:07] Prozess: /usr/lib/firefox/firefox (gelöscht) PID: 9750 Besitzer: louie Größe: 4,0MB (konfigurierte zulässige Größe: 1,0MB) [21:17:07] Prozess: /usr/bin/konsole (gelöscht) PID: 11415 Besitzer: louie Größe: 1,7MB (konfigurierte Größe erlaubt: 1,0MB)
Die Alternative chkrootkitzeigt mir nur eine Infektion an: „tcpd“, was, wie ich an mehreren Stellen gelesen habe, ein falsch-positives Ergebnis ist.
Können rkhunterauch Fehlalarme angezeigt werden?
Antwort1
Sicher, beim ersten Durchlauf rkhunterwerden viele Fehlalarme angezeigt und Firefox ist einer der bekanntesten. Es kann in der /etc/rkhunter.confDatei ignoriert werden, indem das bereits gezeigte Beispiel auskommentiert wird
ALLOWIPCPROC=/usr/bin/firefox
Es sind noch einige andere Fehlalarme bekannt, ich konnte jedoch keine Erklärung finden, wie man herausfindet, ob ein Prozess bekanntermaßen großen Speicher nutzt.
Ich hoffe ich bekomme hier bald eine Antwort:https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments
siehe auch:https://serverfault.com/a/937301/128892