當我在我的電腦(Ubuntu 14.04)上安裝更新時,我輸入了密碼,以為這是要求定期更新,但是當我注意到一些奇怪的行為並此時崩潰時,我懷疑是惡意活動。我檢查了是否有一些修改過的文件
find /sbin -mtime -1
它向我展示了:
/sbin
/sbin/ldconfig.real
/sbin/ldconfig
然後我用以下指令檢查了 rootkit:
chkrootkit | grep INFECTED
它什麼也沒顯示
不過我擔心ldconfig ldconfig.real文件,所以我正在尋找更新它們的方法,以便刪除最後的更改(可能的惡意活動)。
當我嘗試重新安裝時ldconfig,在刪除時出現此錯誤apt-get
E: 無法找到軟體包 ldconfig
答案1
兩個文件都來自libc-bin
$ dpkg -S /sbin/ldconfig{,.real}
libc-bin: /sbin/ldconfig
libc-bin: /sbin/ldconfig.real
所以你可以重新安裝:
sudo apt install --reinstall libc-bin
但是,如果像 libc 這樣的基本內容確實被感染,您將無法將其從即時系統中刪除。它可以輕鬆地修補任何連結到它的東西,以重新感染您的電腦。您可能可以從 LiveCD chroot 掛載它並重新安裝所有內容...或只是從頭開始重新安裝並複製您的(已檢查和清理的)資料。
但你首先真的被感染了嗎?我不知道你為什麼認為你是。最近出現了 libc 補丁(它們通常是相當頻繁的 IME),所以我不確定您所看到的不是標準的東西。
我真的認為你不必要地將更可能是錯誤更新、隨機錯誤、重新加載到新版本 libc 的服務等引入災難場景。特別是當我們談論“一些警告”而不知道它們是什麼時。警告總是發生。
你只有幾個選擇:
- 從安全環境(即 Live CD/USB)審核文件。如果您聲稱與以下版本相同原件但他們
md5sum(或者sha256sum,無論你想變得多麼偏執)不同,你就有問題了。 - 假設發生災難並重新安裝。
- 服用藍色藥丸,故事結束,你在床上醒來,相信你想相信的一切。無知就是幸福,對嗎?