Cuando hago una rkhunter --checkme muestra que tengo posibles rootkits:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: operador inesperado
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: operador inesperado
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: operador inesperado
Comprobación de segmentos de memoria compartida sospechosos (grandes) [Advertencia]
/var/log/rkhunter.logmuéstrame esto:
Advertencia: Se han encontrado los siguientes segmentos de memoria compartida sospechosos (grandes): [21:17:06] Proceso: /usr/lib/firefox/firefox (eliminado) PID: 9750 Propietario: louie Tamaño: 4,0 MB (tamaño configurado permitido: 1,0 MB) [21:17:07] Proceso: /usr/lib/firefox/firefox (eliminado) PID: 9750 Propietario: louie Tamaño: 4,0 MB (tamaño configurado permitido: 1,0 MB) [21:17:07] Proceso: /usr/bin/konsole (eliminado) PID: 11415 Propietario: louie Tamaño: 1,7 MB (tamaño configurado permitido: 1,0 MB)
La alternativa chkrootkitsolo me muestra una infección: "tcpd" que he leído en varios sitios es un falso positivo.
¿También puede rkhuntermostrar falsos positivos?
Respuesta1
Claro, en una primera ejecución, rkhuntermuestra muchos falsos positivos y Firefox es uno de los más conocidos. Se puede ignorar en el /etc/rkhunter.confarchivo descomentando el ejemplo ya mostrado.
ALLOWIPCPROC=/usr/bin/firefox
Existen otros falsos positivos conocidos, pero no pude encontrar ninguna explicación sobre cómo averiguar si se sabe que un proceso utiliza grandes memorias.
Espero recibir una respuesta aquí pronto:https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments
ver también:https://serverfault.com/a/937301/128892