quando instalei as atualizações no meu computador (Ubuntu 14.04), digitei a senha, pensando que era solicitada atualização regular, mas quando notei algum comportamento estranho e travamento neste momento, suspeitei da atividade maliciosa. Eu verifiquei se havia alguns arquivos modificados
find /sbin -mtime -1
e me mostrou:
/sbin
/sbin/ldconfig.real
/sbin/ldconfig
Eu verifiquei então se havia rootkits com:
chkrootkit | grep INFECTED
e não mostrou nada
No entanto, eu me preocupo com ldconfig ldconfig.realarquivos, e entãoEstou procurando métodos para atualizá-los de forma que as últimas alterações (possíveis atividades maliciosas) sejam excluídas.
quando tento reinstalar ldconfig, recebo esse erro ao remover comapt-get
E: Não foi possível localizar o pacote ldconfig
Responder1
Ambos os arquivos vêm delibc-bin
$ dpkg -S /sbin/ldconfig{,.real}
libc-bin: /sbin/ldconfig
libc-bin: /sbin/ldconfig.real
Então você pode reinstalar com:
sudo apt install --reinstall libc-bin
Mas se algo tão fundamental como a libc estiver realmente infectado, você não conseguirá removê-lo de um sistema ativo. Ele poderia simplesmente corrigir qualquer coisa vinculada a ele para apenas reinfectar seu computador. Você provavelmente poderia montá-lo em chroot a partir de um LiveCD e reinstalar tudo ... Ou apenas reinstalar do zero e copiar seus dados (verificados e higienizados).
Mas você está realmente infectado em primeiro lugar? Não sei por que você pensa que está. Houve patches libc recentemente (eles geralmente são IME bastante frequentes), então não tenho certeza se o que você está vendo é algo além de material padrão.
Eu realmente acho que você está conectando desnecessariamente o que é mais provável que seja uma atualização ruim, um bug aleatório, um serviço que foi recarregado em uma nova versão da libc, etc., em um cenário de desastre. Principalmente quando falamos de “alguns avisos” sem saber quais eram. Avisos acontecem o tempo todo.
Você só tem algumas opções:
- Audite os arquivos de um ambiente seguro (ou seja, um Live CD/USB). Se o seu afirma ser a mesma versão queos originaismas eles
md5sum(ousha256sum, por mais paranóico que você queira ser) diferem, você tem um problema. - Assuma o desastre e reinstale.
- Tome a pílula azul, a história acaba, você acorda na sua cama e acredita no que quiser. A ignorância é uma bênção, certo?