내가 할 때 rkhunter --check가능한 루트킷이 있다는 것을 보여줍니다:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: 예상치 못한 연산자
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: 예상치 못한 연산자
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: 예상치 못한 연산자
의심스러운(대형) 공유 메모리 세그먼트 확인 [ 경고 ]
/var/log/rkhunter.log나에게 이것을 보여주세요:
경고: 다음과 같은 의심스러운(대형) 공유 메모리 세그먼트가 발견되었습니다. [21:17:06] 프로세스: /usr/lib/firefox/firefox (삭제됨) PID: 9750 소유자: louie 크기: 4,0MB (허용된 구성 크기: 1,0MB) [21:17:07] 프로세스: /usr/lib/firefox/firefox (삭제됨) PID: 9750 소유자: louie 크기: 4,0MB (허용된 구성 크기: 1,0MB) [21:17:07] 프로세스: /usr/bin/konsole (삭제됨) PID: 11415 소유자: louie 크기: 1,7MB (허용된 구성 크기: 1,0MB)
대안은 chkrootkit나에게 감염만을 보여줍니다. 여러 곳에서 읽은 "tcpd"는 거짓 긍정입니다.
오탐(false positive)도 표시 할 수 있나요 rkhunter?
답변1
물론, 첫 번째 실행에서는 rkhunter많은 거짓 긍정이 표시되며 Firefox는 일반적으로 알려진 것 중 하나입니다. /etc/rkhunter.conf이미 표시된 예제의 주석 처리를 제거하면 파일 에서 무시할 수 있습니다.
ALLOWIPCPROC=/usr/bin/firefox
주변에 알려진 다른 잘못된 긍정이 있지만 프로세스가 큰 메모리를 사용하는 것으로 알려진 경우 알아내는 방법에 대한 설명을 찾을 수 없습니다.
곧 여기에서 답변을 얻을 수 있기를 바랍니다.https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments