當我這樣做時,rkhunter --check它顯示我有可能的 rootkit:
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: 意外的運算符
/usr/bin/rkhunter: 14795: [: /usr/lib/firefox/firefox: 意外的運算符
/usr/bin/rkhunter: 14795: [: /usr/bin/konsole: 意外的運算符
檢查可疑(大)共享記憶體段[警告]
/var/log/rkhunter.log給我看看這個:
警告:已發現以下可疑(大)共享記憶體段: [21:17:06] 進程:/usr/lib/firefox/firefox(刪除) PID:9750 擁有者:louie 大小:4,0MB(允許配置的大小:1,0MB) [21:17:07] 進程:/usr/lib/firefox/firefox(刪除) PID:9750 擁有者:louie 大小:4,0MB(允許配置的大小:1,0MB) [21:17:07] 進程:/usr/bin/konsole(已刪除) PID:11415 擁有者:louie 大小:1,7MB(允許配置的大小:1,0MB)
另一個選擇chkrootkit只向我顯示感染:我在幾個地方讀過的“tcpd”是誤報。
還可以rkhunter顯示誤報嗎?
答案1
當然,在第一次運行時,rkhunter會顯示出許多誤報,而 Firefox 是眾所周知的誤報之一。/etc/rkhunter.conf透過取消註釋已顯示的範例,可以在文件中忽略它
ALLOWIPCPROC=/usr/bin/firefox
還有一些其他已知的誤報,但我找不到任何解釋如何找出某個進程是否已知使用大記憶體。
我希望很快能在這裡得到答案:https://security.stackexchange.com/questions/220302/find-out-if-a-process-is-allowed-to-use-shared-memory-segments