Kirjoittaja Aihe: lmde201109 ja rkhunterin tulos RATKAISTU  (Luettu 2583 kertaa)

jr71

  • Käyttäjä
  • Viestejä: 69
  • http://www.mepis.org/docs/en/images/a/ae/Mepbnr.pn
    • Profiili
lmde201109 ja rkhunterin tulos RATKAISTU
« : 19.10.11 - klo:12.29 »
hei asensin lmde version ja siihen rkhunterin.Rkhunter löysi viittauksia xzibit nimiseen rootkittiin
joka olisi lokitiedon mukaan pesiytynyt tämmöisiin tiedostoihin kuin /etc/init.d/hdparm ja etc/init.d/.depend.boot, mitä tehdä?      tuossa on pätkä lokista muita rootkittejä ei löytynyt vaikka mitään takaovia ei näytä olevan auki niin en uskalla käyttää kyseistä käyttistä kirjoittelen tätä win7.Miten saan puhdistettua koneen vai pitääkö tehdä puhdas asennus?        
[14:54:27]     Checking for string 'hdparm'                  [ Warning ]
[14:54:27]     Checking for string '/lib/ldd.so/tkps'        [ Not found ]
[14:54:27]     Checking for string 't0rnkit'                 [ Not found ]
[14:54:27]     Checking for string '/dev/proc/fuckit'        [ Not found ]
[14:54:27]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:27]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:27]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:27]     Checking for string '/usr/lib/ldlibct.so'     [ Not found ]
[14:54:27]     Checking for string '/usr/lib/ldlibdu.so'     [ Not found ]
[14:54:27]     Checking for string '/dev/ptyxx/.file'        [ Not found ]
[14:54:28]     Checking for string 'libproc.so.2.0.7'        [ Not found ]
[14:54:28]     Checking for string '/dev/ida/.inet'          [ Not found ]
[14:54:28] Warning: Checking for possible rootkit strings    [ Warning ]
[14:54:28]          Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
[14:54:28]          Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit
[14:54:28]
nytpä meni mielenkiintoiseksi tein puhtaan asennuksen ja sama ilmoitus löytyneestä xzibitistä löytyi onko nytten käynyt niin että tuo lmden lähde on saastunut vai mistä on kyse? täytynee polttaa uusi kopio lmdestä ja asentaa uudestaan koneelle ja katsoa mitä löytyy yhh sama juttu pistin kovon nukella puhtaaksi. Tulipa hieman hätäiltyä  selvisi että se on niin sanottu false positive
eli uusin versio rkhunterista löytää  olemattomia rootkit merkintöjä.
« Viimeksi muokattu: 21.10.11 - klo:13.13 kirjoittanut jr71 »