Quiero incluir en la "lista blanca" algunos de los falsos positivos de chkrootkit, por lo que me gustaría utilizarlos /etc/chkrootkit.confcomo "lista blanca".
Pero esto no funciona:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
Y sigo recibiendo los siguientes falsos positivos:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
Sé que no es una lista blanca real, pero los falsos positivos no deberían enviarme correos electrónicos todos los días.
chkrootkit version 0.49
Respuesta1
Podrías ponerlos en un...
/etc/chkrootkit.filter
Cuando pones esto...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
ignorará dhclient en eth0. Agregue este archivo a /etc/cron.daily/chkrootkit. Encontrar ...
$CHKROOTKIT $RUN_DAILY_OPTS
con tu editor favorito y cámbialo a...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
y (en algún lugar al principio) agregue...
FILTER=/etc/chkrootkit.filter
después ...
CF=/etc/chkrootkit.conf
Antes de empezar haz un...
./chkrootkit
Debería mostrar la referencia falsa positiva a dhclient y, después de editarlo, ejecutarlo nuevamente. La referencia a dhclient debería desaparecer.
Eso sí, ten cuidado: cualquier cosa que añadas a esto y que se infecte ya no recibirás ninguna advertencia. Así que tenga cuidado con este tipo de filtrado. Mejor sería que "ellos" actualicen sus definiciones.