как исправить потенциально зараженные двоичные файлы?

tag-icon tag-icon ubuntu security software-installation binary
как исправить потенциально зараженные двоичные файлы?

Когда я установил обновления на свой компьютер (Ubuntu 14.04), я ввел пароль, думая, что он запрашивается для регулярного обновления, но когда я заметил какое-то странное поведение и сбой в этот момент, я заподозрил вредоносную активность. Я проверил, были ли какие-то измененные файлы

find /sbin -mtime -1

и он показал мне:

/сбин

/sbin/ldconfig.real

/sbin/ldconfig

Затем я проверил наличие руткитов с помощью:

chkrootkit | grep INFECTED

и ничего не показало

Тем не менее, я беспокоюсь о ldconfig ldconfig.realфайлах, и поэтомуЯ ищу способы обновить их таким образом, чтобы последние изменения (возможная вредоносная активность) были удалены. когда я пытаюсь переустановить ldconfig, у меня возникает эта ошибка при удалении с помощьюapt-get

E: Не удалось найти пакет ldconfig

решение1

Оба файла взяты изlibc-bin

$ dpkg -S /sbin/ldconfig{,.real}
libc-bin: /sbin/ldconfig
libc-bin: /sbin/ldconfig.real

Итак, вы можете переустановить его с помощью:

sudo apt install --reinstall libc-bin

Но если что-то такое фундаментальное, как libc, действительно заражено, вы не сможете удалить его из работающей системы. Он может банально исправить все, что с ним связано, чтобы просто повторно заразить ваш компьютер. Вы, вероятно, могли бы смонтировать его с помощью chroot из LiveCD и переустановить все... Или просто переустановить с нуля и скопировать свои (проверенные и очищенные) данные.

Но действительно ли вы заражены изначально? Я не знаю, почему вы так думаете. Недавно были патчи libc (они обычно довольно частые IME), так что я не уверен, что то, что вы видите, это что-то, кроме стандартного.

Я действительно думаю, что вы без необходимости сводите то, что скорее всего является плохим обновлением, случайной ошибкой, службой, которая перезагрузилась на новую версию libc и т. д., к катастрофическому сценарию. Особенно когда мы говорим о "некоторых предупреждениях", не зная, что это было. Предупреждения случаются постоянно.

У вас есть всего несколько вариантов:

  • Проверьте файлы из безопасной среды (например, Live CD/USB). Если ваша версия утверждает, что она та же, что иоригиналыно они md5sum(или sha256sum, как бы вы ни хотели быть параноиком) отличаются, у вас есть проблема.
  • Предположим, что произошла авария, и переустановите систему.
  • Прими синюю таблетку, история закончится, ты проснешься в своей постели и поверишь во что хочешь. Невежество — это блаженство, верно?

Связанный контент