Quando faço isso, rkhunter --checkisso me mostra que tenho possíveis rootkits:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: operador inesperado
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: operador inesperado
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: operador inesperado
Verificando segmentos suspeitos (grandes) de memória compartilhada [Aviso]
/var/log/rkhunter.logme mostre isso:
Aviso: Os seguintes segmentos suspeitos (grandes) de memória compartilhada foram encontrados: [21:17:06] Processo: /usr/lib/firefox/firefox (excluído) PID: 9750 Proprietário: louie Tamanho: 4,0 MB (tamanho configurado permitido: 1,0 MB) [21:17:07] Processo: /usr/lib/firefox/firefox (excluído) PID: 9750 Proprietário: louie Tamanho: 4,0 MB (tamanho configurado permitido: 1,0 MB) [21:17:07] Processo: /usr/bin/konsole (excluído) PID: 11415 Proprietário: louie Tamanho: 1,7 MB (tamanho configurado permitido: 1,0 MB)
A alternativa chkrootkitsó me mostra uma infecção: “tcpd” que li em vários lugares é um falso positivo.
Também pode rkhuntermostrar falsos positivos?
Responder1
Claro, na primeira execução, rkhuntermostra muitos falsos positivos e o Firefox é um dos mais conhecidos. Pode ser ignorado no /etc/rkhunter.confarquivo descomentando o exemplo já mostrado
ALLOWIPCPROC=/usr/bin/firefox
Existem alguns outros falsos positivos conhecidos, mas não consegui encontrar nenhuma explicação sobre como descobrir se um processo usa memórias grandes.
Espero obter uma resposta aqui em breve:https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments
Veja também:https://serverfault.com/a/937301/128892