Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: chkrootkit vs. AVG  (Прочитано 5162 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Nikola Tesla

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Dell Inspiron-3520 Ubuntu 14.04
    • Просмотр профиля
chkrootkit vs. AVG
« : 11 Июня 2014, 05:27:19 »
Доброго времени всем. Вот такая нарисовалась дилемма:

После установки из "центра приложений" и проверки файлов утилита chkrootkit выдала варнинг:

(Нажмите, чтобы показать/скрыть)

 :o

А вот свежеобновленный AVG никак с этим не согласен:

(Нажмите, чтобы показать/скрыть)

 ???

Так кому же из них верить?  :idiot2:

Подскажите, будте добры...

Оффлайн serhy

  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #1 : 11 Июня 2014, 05:41:42 »
Попробуйте отправить файл на https://www.virustotal.com/ . Также можно его сравнить из свежо скачанного дистрибутива.

Оффлайн Nikola Tesla

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Dell Inspiron-3520 Ubuntu 14.04
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #2 : 11 Июня 2014, 06:16:52 »
Интересная петрушка...
Удалил я к чертям этот /sbin/init, chkrootkit теперь явной каки не находит, но он также и не ищет больше этот стремный Suckit.rootkit  :idiot2:

(Нажмите, чтобы показать/скрыть)

Те, что в списке - не обнаружены, а его вообще нет...

Оффлайн hon

  • Старожил
  • *
  • Сообщений: 1044
  • Ubuntu 12.04 LTS
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #3 : 11 Июня 2014, 06:52:36 »
Удалил я к чертям этот /sbin/init

Это критически важная программа, отвечающая за запуск системы после инициализации ядра. Без нее система не запустится.

Если система не перезагружалась/выключалась, то:
sudo apt-get install --reinstall initЕсли система уже перезагружалась/выключалась и соответственно уже не запускается, то с LiveCD:
sudo mount /dev/sdXY /mnt
sudo mount --bind /dev /mnt/dev
sudo mount --bind /sys /mnt/sys
sudo mount --bind /proc /mnt/proc
sudo chroot /mnt
sudo apt-get install --reinstall init

P.S. Из-за архитектуры систем GNU/Linux при правильном использовании шансы того, что система будет заражена почти нулевые. Хватит баловаться с антивирусами! Не нужны они!
« Последнее редактирование: 11 Июня 2014, 06:57:20 от hon »

Оффлайн serhy

  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #4 : 11 Июня 2014, 06:59:52 »
Думаю раз пошел такой откровенный разгром системы, проще переустановить систему, проверить все chkrootkitами и быть спокойным.
« Последнее редактирование: 11 Июня 2014, 07:07:14 от serhy »

Оффлайн hon

  • Старожил
  • *
  • Сообщений: 1044
  • Ubuntu 12.04 LTS
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #5 : 11 Июня 2014, 07:13:21 »
Какой разгром системы? Всего лишь один файл удален.

Оффлайн serhy

  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #6 : 11 Июня 2014, 08:11:29 »
Какой разгром системы? Всего лишь один файл удален.
Один то он один, думаю юзер этим временем переустанавливает убунтовоз  ;)
Но все таки злобный вирус повержен

Оффлайн Platon

  • Активист
  • *
  • Сообщений: 899
  • KUbuntu LTS (AMD64)
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #7 : 11 Июня 2014, 08:35:13 »
rkhunter данной инфекции не узрел - специально запустил chkrootkit на нулевой системе - данный варнинг опять же вылез - как так(?), забил строчку "Searching for Suckit rootkit... Warning: /sbin/init INFECTED" в гугл и выяснил:
Не паникуйте, разработчики из RedHat считают это багом: Ложное срабатывание сhkrootkit связанное со спецификой systemd
Цитировать
is a false positive, but the symlink is not the cause.
chkrootkit uses a too simple method to detect "Suckit":
strings /sbin/init | grep HOME
The systemd binary contains the string "HOME" and that's alright. chkrootkit should be fixed.
и соответственно
Bug#454566 в Ubuntu начиная с 9.10

« Последнее редактирование: 11 Июня 2014, 09:00:47 от Platon »
"Быть сильным – не значит превосходить в силе, а уметь слабого поднять до высот своих." Рабиндранат Тагор

Оффлайн Nikola Tesla

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Dell Inspiron-3520 Ubuntu 14.04
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #8 : 11 Июня 2014, 16:18:58 »
Спасибо всем, похоже разобрался. К утру нагуглил сообщения о баге, правда, так и не понял, почему его не пофиксили до сих пор, ведь он проявлялся в более ранних версиях. Убунтовоз я не убил, терминал вовремя предупредил меня об опасности, так что после всех перипетий я успокоился, разархивировал файлик и водворил на место. По ходу дела столкнулся с другими неясностями, но разбираться с ними буду потихоньку сам  :)

Итог: если учесть, что срабатывание chkrootkit - ложное вследствие бага, то выходит, что после года безжалостного юзания Убунты любопытным нубом, начавшим постигать линукс методом вивисекции собственной системы вслепую, после сотен гигабайтов пропущенного траффика без антивируса и с ненастроенным сетевым экраном, после серфинга по всем подряд без учета безопасности сайтам - в систему не влез ни один вредонос!  :P
Я люблю Ubuntu! :smitten:

Оффлайн Platon

  • Активист
  • *
  • Сообщений: 899
  • KUbuntu LTS (AMD64)
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #9 : 11 Июня 2014, 18:56:11 »
Почему не пофиксили?
Chkrootkit использует слишком простой метод для выявления "SuckIt":
по строке sbin/init | grep HOME
Двоичный контейнер Systemd содержит строку "Home" и это нормально. Chkrootkit должны пофиксить.   
"Быть сильным – не значит превосходить в силе, а уметь слабого поднять до высот своих." Рабиндранат Тагор

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: chkrootkit vs. AVG
« Ответ #10 : 13 Июня 2014, 23:08:35 »
Так кому же из них верить?
Правильный ответ: никому.
Надо думать своей головой.
А именно, проверить контрольные суммы подозрительных файлов.

Но все таки злобный вирус повержен
А он был?

Оффлайн Tear

  • Старожил
  • *
  • Сообщений: 1445
  • Ubuntu 16.04 LTS
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #11 : 13 Июня 2014, 23:52:55 »
rkhunter данной инфекции не узрел - специально запустил chkrootkit на нулевой системе - данный варнинг опять же вылез - как так(?), забил строчку "Searching for Suckit rootkit... Warning: /sbin/init INFECTED" в гугл и выяснил:
Не паникуйте, разработчики из RedHat считают это багом: Ложное срабатывание сhkrootkit связанное со спецификой systemd
Почему тогда, если это баг, начиная с Ubuntu 9.10, связанный со спецификацией systemd (???) у меня ни разу подобного предупреждения не было. Нет его и сейчас:


Оффлайн Platon

  • Активист
  • *
  • Сообщений: 899
  • KUbuntu LTS (AMD64)
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #12 : 14 Июня 2014, 13:26:28 »
rkhunter данной инфекции не узрел - специально запустил chkrootkit на нулевой системе - данный варнинг опять же вылез - как так(?), забил строчку "Searching for Suckit rootkit... Warning: /sbin/init INFECTED" в гугл и выяснил:
Не паникуйте, разработчики из RedHat считают это багом: Ложное срабатывание сhkrootkit связанное со спецификой systemd
Почему тогда, если это баг, начиная с Ubuntu 9.10, связанный со спецификацией systemd (???) у меня ни разу подобного предупреждения не было. Нет его и сейчас:


а ХЗ, баги они такие, зависят от фазы луны
"Быть сильным – не значит превосходить в силе, а уметь слабого поднять до высот своих." Рабиндранат Тагор

Оффлайн Tear

  • Старожил
  • *
  • Сообщений: 1445
  • Ubuntu 16.04 LTS
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #13 : 14 Июня 2014, 13:59:18 »
а ХЗ, баги они такие, зависят от фазы луны
Где-то прочитал, что нужно перезагрузиться. После перезагрузки баг пропадает.

Оффлайн Platon

  • Активист
  • *
  • Сообщений: 899
  • KUbuntu LTS (AMD64)
    • Просмотр профиля
Re: chkrootkit vs. AVG
« Ответ #14 : 14 Июня 2014, 17:46:08 »
а ХЗ, баги они такие, зависят от фазы луны
Где-то прочитал, что нужно перезагрузиться. После перезагрузки баг пропадает.
sudo chkrootkit -e
Цитировать
/usr/sbin/chkrootkit: 2709: shift: can't shift that many
"Быть сильным – не значит превосходить в силе, а уметь слабого поднять до высот своих." Рабиндранат Тагор

 

Страница сгенерирована за 0.038 секунд. Запросов: 26.