/etc/chkrootkit.confchkrootkit의 잘못된 긍정 중 일부를 "화이트리스트"로 지정하고 싶기 때문에 이를 "화이트리스트"로 사용하고 싶습니다 .
그러나 이것은 작동하지 않습니다:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
그리고 여전히 다음과 같은 오탐이 발생합니다.
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
나는 이것이 실제 화이트리스트가 아니라는 것을 알고 있지만, 오탐지가 나에게 매일 이메일을 보내서는 안 됩니다.
chkrootkit version 0.49
답변1
당신은 그것을 넣을 수 있습니다 ...
/etc/chkrootkit.filter
이걸 넣으면...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
eth0의 dhclient는 무시됩니다. 이 파일을 /etc/cron.daily/chkrootkit. 찾다 ...
$CHKROOTKIT $RUN_DAILY_OPTS
좋아하는 편집기로 변경하여 ...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
그리고 (처음 어딘가에) 추가합니다 ...
FILTER=/etc/chkrootkit.filter
후에 ...
CF=/etc/chkrootkit.conf
시작하기 전에 다음을 수행하십시오.
./chkrootkit
dhclient에 대한 거짓 긍정 참조를 표시해야 하며 이를 편집한 후 다시 실행해야 합니다. dhclient에 대한 참조가 사라져야 합니다.
하지만 주의하세요. 여기에 추가하는 모든 항목이 감염되면 더 이상 경고가 표시되지 않습니다. 따라서 이런 종류의 필터링에는 주의하세요. 더 나은 것은 '그들'이 그들의 정의를 업데이트하도록 하는 것입니다.