Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum zapoznaj się z kilkoma zasadami savoir-vivre'u w wątku Administracja-> Przywitaj się. Wątki z problemami zamieszczone w dziale "Przywitaj się" będą usuwane.

Autor Wątek: rkhunter coś wykrył  (Przeczytany 207 razy)

Offline funn

  • Jr. Member
  • **
  • Wiadomości: 64
rkhunter coś wykrył
« dnia: Sierpień 25, 2019, 03:31:44 pm »
Dziś grałem w grę przeglądarkową i nagle mi się wyłączyła. Od razu przeskanowałem rkhunter i wykrył dwa rootkity. Jeszcze kilka tygodni temu gdy skanowałem, było czysto.

Jeszcze w rkhunter.log te wpisy mnie niepokoją.
Warning: Checking for possible rootkit files and directories [ Warning ]
[15:22:28]          Found file '/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
[15:22:29]          Found file '/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
[15:22:29]          Found file '/usr/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
[15:22:29]          Found file '/usr/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component


Warning: The following processes are using suspicious files:
[15:23:02]          Command: chromium
[15:23:02]            UID: 1000    PID: 8119
[15:23:02]            Pathname: /usr/lib/libkeyutils.so.1.9
[15:23:02]            Possible Rootkit: Spam tool component
[15:23:02]          Command: chromium

Tutaj opisali że jak jakiś rootkit atakuje Linux to zawsze atakuje te pliki *libkeyutils.
https://srvfail.com/check-clean-ebury-ssh-rootkit/
« Ostatnia zmiana: Sierpień 26, 2019, 05:12:12 pm wysłana przez funn »

Offline lami07

  • Global Moderator
  • Sr. Member
  • *****
  • Wiadomości: 326
Odp: rkhunter coś wykrył
« Odpowiedź #1 dnia: Sierpień 25, 2019, 05:52:35 pm »
https://bbs.archlinux.org/viewtopic.php?id=248420
IRC - #linuxiarze.pl w sieci freenode.net
Matrix - #linuxiarze.pl w sieci matrix.org

Offline funn

  • Jr. Member
  • **
  • Wiadomości: 64
Odp: rkhunter coś wykrył
« Odpowiedź #2 dnia: Sierpień 25, 2019, 06:12:32 pm »
Czyli zmiana, przywrócenie pakietu z wersji keysutils 1.6,1-1 do 1.6.-1 spowoduje, że te komunikaty o dwóch wykrytych rootkitach w rkhunter znikną? Obecnie przeinstalowałem pakiet keysutils pobierając nowy i czyszcząc pacman -Scc.