Als ich die Updates auf meinem Computer (Ubuntu 14.04) installierte, gab ich das Passwort ein, weil ich dachte, es würde für regelmäßige Updates abgefragt, aber als ich in diesem Moment ein seltsames Verhalten und einen Absturz bemerkte, vermutete ich eine bösartige Aktivität. Ich überprüfte, ob es einige geänderte Dateien gab
find /sbin -mtime -1
und es zeigte mir:
/sbin
/sbin/ldconfig.real
/sbin/ldconfig
Ich habe dann mit folgendem Programm nach Rootkits gesucht:
chkrootkit | grep INFECTED
und es zeigte nichts
Trotzdem mache ich mir Sorgen um ldconfig ldconfig.realDateien, und soIch suche nach Methoden, sie so zu aktualisieren, dass die letzten Änderungen (mögliche böswillige Aktivitäten) gelöscht werden.
wenn ich versuche, neu zu installieren ldconfig, habe ich diesen Fehler beim Entfernen mitapt-get
E: Paket ldconfig konnte nicht gefunden werden
Antwort1
Beide Dateien stammen vonlibc-bin
$ dpkg -S /sbin/ldconfig{,.real}
libc-bin: /sbin/ldconfig
libc-bin: /sbin/ldconfig.real
Sie können die Neuinstallation also wie folgt durchführen:
sudo apt install --reinstall libc-bin
Aber wenn etwas so Grundlegendes wie libc wirklich infiziert ist, können Sie es nicht von einem Live-System entfernen. Es könnte alles, was darauf verweist, trivial patchen, um Ihren Computer erneut zu infizieren. Sie könnten es wahrscheinlich von einer Live-CD chroot-mounten und alles neu installieren ... Oder einfach von Grund auf neu installieren und Ihre (geprüften und bereinigten) Daten kopieren.
Aber sind Sie überhaupt infiziert? Ich weiß nicht, warum Sie das glauben. Es gab kürzlich libc-Patches (meiner Erfahrung nach sind sie normalerweise ziemlich häufig), daher bin ich mir nicht sicher, ob das, was Sie sehen, etwas anderes als Standardkram ist.
Ich glaube wirklich, dass Sie unnötigerweise ein Szenario aus einem schlechten Update, einem zufälligen Fehler, einem Dienst, der auf eine neue Version von libc neu geladen wurde, usw. in ein Katastrophenszenario verwandeln. Insbesondere, wenn wir von „einigen Warnungen“ sprechen, ohne zu wissen, was sie waren. Warnungen gibt es ständig.
Sie haben nur wenige Möglichkeiten:
- Überprüfen Sie die Dateien aus einer sicheren Umgebung (z. B. einer Live-CD/USB). Wenn Ihre Dateien angeblich die gleiche Version haben wiedie Originaleaber ihre
md5sum(odersha256sum, wie paranoid Sie auch sein wollen) Unterschiede bestehen, haben Sie ein Problem. - Gehen Sie von einer Katastrophe aus und führen Sie die Installation erneut durch.
- Nehmen Sie die blaue Pille, die Geschichte endet, Sie wachen in Ihrem Bett auf und glauben, was immer Sie glauben wollen. Unwissenheit ist ein Segen, oder?