Ubuntu Suomen keskustelualueet

Muut alueet => Muut käyttöjärjestelmät ja Linux-jakelut => Aiheen aloitti: jr71 - 19.10.11 - klo:12.29

Otsikko: lmde201109 ja rkhunterin tulos RATKAISTU
Kirjoitti: jr71 - 19.10.11 - klo:12.29

hei asensin lmde version ja siihen rkhunterin.Rkhunter löysi viittauksia xzibit nimiseen rootkittiin
joka olisi lokitiedon mukaan pesiytynyt tämmöisiin tiedostoihin kuin /etc/init.d/hdparm ja etc/init.d/.depend.boot, mitä tehdä?      tuossa on pätkä lokista muita rootkittejä ei löytynyt vaikka mitään takaovia ei näytä olevan auki niin en uskalla käyttää kyseistä käyttistä kirjoittelen tätä win7.Miten saan puhdistettua koneen vai pitääkö tehdä puhdas asennus?        
[14:54:27]     Checking for string 'hdparm'                  [ Warning ]
[14:54:27]     Checking for string '/lib/ldd.so/tkps'        [ Not found ]
[14:54:27]     Checking for string 't0rnkit'                 [ Not found ]
[14:54:27]     Checking for string '/dev/proc/fuckit'        [ Not found ]
[14:54:27]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:27]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:27]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:27]     Checking for string '/usr/lib/ldlibct.so'     [ Not found ]
[14:54:27]     Checking for string '/usr/lib/ldlibdu.so'     [ Not found ]
[14:54:27]     Checking for string '/dev/ptyxx/.file'        [ Not found ]
[14:54:28]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:28]     Checking for string '/dev/ida/.inet'          [ Not found ]
[14:54:28] Warning: Checking for possible rootkit strings    [ Warning ]
[14:54:28]          Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
[14:54:28]          Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit
[14:54:28]
nytpä meni mielenkiintoiseksi tein puhtaan asennuksen ja sama ilmoitus löytyneestä xzibitistä löytyi onko nytten käynyt niin että tuo lmden lähde on saastunut vai mistä on kyse? täytynee polttaa uusi kopio lmdestä ja asentaa uudestaan koneelle ja katsoa mitä löytyy yhh sama juttu pistin kovon nukella puhtaaksi. Tulipa hieman hätäiltyä  selvisi että se on niin sanottu false positive
eli uusin versio rkhunterista löytää  olemattomia rootkit merkintöjä.