Когда я делаю это, rkhunter --checkон показывает мне, что у меня есть возможные руткиты:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: неожиданный оператор
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: неожиданный оператор
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: неожиданный оператор
Проверка подозрительных (больших) сегментов общей памяти [ Предупреждение ]
/var/log/rkhunter.logпокажи мне это:
Предупреждение: обнаружены следующие подозрительные (большие) сегменты общей памяти: [21:17:06] Процесс: /usr/lib/firefox/firefox (удалено) PID: 9750 Владелец: louie Размер: 4,0 МБ (допустимый размер: 1,0 МБ) [21:17:07] Процесс: /usr/lib/firefox/firefox (удалено) PID: 9750 Владелец: louie Размер: 4,0 МБ (допустимый размер: 1,0 МБ) [21:17:07] Процесс: /usr/bin/konsole (удалено) PID: 11415 Владелец: louie Размер: 1,7 МБ (допустимый размер: 1,0 МБ)
Альтернатива chkrootkitпоказывает мне только инфекцию: «tcpd», о которой я читал в нескольких местах, что это ложное срабатывание.
Могут ли rkhunterтакже быть ложноположительные результаты?
решение1
Конечно, при первом запуске rkhunterпоказывает много ложных срабатываний, и Firefox — один из самых известных. Его можно игнорировать в файле, /etc/rkhunter.confраскомментировав уже показанный пример
ALLOWIPCPROC=/usr/bin/firefox
Существуют и другие известные ложные срабатывания, но я не смог найти объяснения, как узнать, использует ли процесс большой объем памяти.
Надеюсь, я скоро получу ответ:https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments
смотрите также:https://serverfault.com/a/937301/128892