Rilevazioni chkrootkit

[rapax]

Un saluto a tutti.

Ho scaricato da:

http://puppylover.netsons.org/dokupuppy/programs:security_tools

il pacchetto chkrootkit-0.48-i486.pet e dopo averlo installato ho effettuato una scansione del sistema,
con il seguente risultato:

Codice: [Seleziona]

ROOTDIR is `/'
Checking `basename'... INFECTED
Checking `dirname'... INFECTED
Checking `echo'... INFECTED
Checking `env'... INFECTED
Checking `inetd'... not tested
Checking `login'... INFECTED
Checking `passwd'... INFECTED
Checking `traceroute'... INFECTED

Searching for suspicious files and dirs, it may take a while...
/usr/lib/seamonkey-1.1.18/.autoreg
/usr/lib/seamonkey-2.0/.autoreg
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/Digest/SHA1/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/HTML/Parser/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/XML/Simple/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/XML/Parser/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/Compress/Zlib/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/ExtUtils/Depends/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/ExtUtils/PkgConfig/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/auto/URI/.packlist
/usr/lib/perl5/5.8.8/i486-t2-linux-gnu/.packlist
/usr/lib/perl5/site_perl/5.8.8/i486-t2-linux-gnu/auto/Git/.packlist

Searching for Suckit rootkit... Warning: /sbin/init INFECTED
14 /usr/share
1 /usr/share/vala
1 /usr/share/kbd
2 /usr/share/kbd/keymaps
2 /usr/share/kbd/keymaps/i386
2 /usr/share/cups
1 /usr/share/cups/model
1 /usr/share/cups/model/gutenprint
2 /usr/share/doc
2 /usr/share/icons
6 /usr/share/icons/hicolor
1 /usr/share/icons/hicolor/scalable
1 /usr/share/icons/hicolor/48x48
1 /usr/share/icons/hicolor/32x32
1 /usr/share/icons/hicolor/24x24
2 /usr/share/icons/hicolor/22x22
2 /usr/share/icons/hicolor/16x16
1 /lib
1 /lib/modules
chkdirs: Warning: Possible LKM Trojan installed

Checking `wted'... 1 deletion(s) between Thu Jan  1 01:00:00 1970 and Sun Dec 13 20:38:47 2009
Checking `z2'... Checking `chkutmp'... => possibly 1 deletion(s) detected in /var/run/utmp !

 The tty of the following user process(es) were not found in /var/run/utmp !
! RUID          PID TTY    CMD
! root         5109 tty1   /bin/sh /usr/bin/xwin
! root         5110 tty2   /sbin/getty 38400 tty2
! root         5115 tty3   /sbin/getty 38400 tty3
! root         5311 tty1   /usr/bin/xinit /root/.xinitrc -- -br -nolisten tcp
! root         5331 tty4   X :0 -br -nolisten tcp
! root         5385 tty1   jwm
! root         5420 tty1   /bin/ash /sbin/pup_event_frontend_d
! root         5444 tty1   /usr/local/apps/ROX-Filer/ROX-Filer -p /root/Choices/ROX-Filer/PuppyPin
! root         5447 tty1   absvolume -bg #DCDAF5
! root        13421 tty1   xload -nolabel -bg #888888 -fg red -hl white
! root        13423 tty1   freememapplet
! root        13425 tty1   asapm -u 4
! root        13427 tty1   blinky -bg #DCDAD5
! root        13466 tty1   /usr/bin/inotifywait -e modify --format %w /tmp/pup_event_sizefreem
! root        13707 tty1   geany /root/.packages/skype_static-2.1.0.47.files
! root        14396 tty1   rxvt
! root        14400 pts/1  bash
! root        19156 tty1   [jwm] <defunct>
! root        20131 pts/1  /bin/sh ./chkrootkit -r / -n
! root        21170 tty1   sleep 2
! root        21232 pts/1  ./chkutmp
! root        21233 pts/1  ps-FULL ax -o tty,pid,ruser,args
è ovvio che ci sia qualcosa che non và, chiedo AIUTO soprattutto per sapere sè il programma
è affidabile o meno.

[puppylinux]

per quanto riguarda la prima lista (applicazioni pacchettizzate tutte assieme in busybox) si tratta di falsi positivi è una cosa nota

per togliersi il sospetto sulle altre, (specie seamonkey) avvai ckrootkit da live CD così sarai certo, se ti ridà gli stessi problemi, che si tratta anche qui di falsi positivi

[rapax]

per togliersi il sospetto sulle altre, (specie seamonkey) avvia ckrootkit da live CD così sarai certo, se ti ridà gli stessi problemi, che si tratta anche qui di falsi positivi

Ho seguito il tuo consiglio e posso confermare che si tratta di falsi positivi. A questo punto mi sento di sconsigliare l'uso di chkrootkit.
Mà essendo un pò fissato, sulla sicurezza, mi potreste consigliare un alternativa, valida, a chkrootkit.

[rapax]

Ho trovato nel forum ufficiale un intera sezione dedicata alla sicurezza in Puppy, e vorrei segnalare i seguenti topics secondo mè molto utili per navigare in sicurezza con il cagnolino:

http://murga-linux.com/puppy/viewtopic.php?t=49709
http://www.murga-linux.com/puppy/viewtopic.php?t=45884

Ho, inoltre, trovato una valida alternativa a chkrootkit, si chiama "rkhunter".

http://murga-linux.com/puppy/viewtopic.php?t=31509

L'analisi del sistema e stata effettuata su una installazione del cagnolino ex novo, senza connessioni a rete locale o internet attive, escludendo i falsi positivi dovuti a busybox, non ha rilevato niente a differenza di chkrootkit.

Grazie per l'attenzione.