Почему chkrootkit не тестирует syslogd?

Почему бы вам не воспользоваться дополнением Video Download helper в Firefox. Отлично работает для меня

Вот ссылка:

https://addons.mozilla.org/en-US/firefox/addon/video-downloadhelper/?src=ss [ 110]

и работает с HTTPS.

4
задан 04.04.2015, 05:47

3 ответа

Это происходит, потому что chkrootkit ищет исполняемый файл, названный syslogd в нескольких общих местоположениях, но начиная с использования Ubuntu rsyslog, его демона системного журнала вместо этого звонят rsyslogd .

, Чтобы проверить, что демона системного журнала на Вашей машине конкретно звонят rsyslogd, а не syslogd, можно работать locate syslogd (хотя, конечно, если у Вас действительно был руткит, она могла бы заставить неправильные результаты сообщаться этой командой также):

ek@Io:~$ locate syslogd
/etc/apparmor.d/usr.sbin.rsyslogd
/etc/apparmor.d/disable/usr.sbin.rsyslogd
/etc/apparmor.d/local/usr.sbin.rsyslogd
/usr/sbin/rsyslogd
/usr/share/man/man8/rsyslogd.8.gz

, Чтобы проверить, что это - то, почему chkrootkit не тестирует демона системного журнала, можно работать chkrootkit с -d флаг (для [1 136] отладка режим) и отправить копию вывода в файл:

sudo chkrootkit -d |& tee ~/chkrootkit.log

Тогда открывают файл журнала в текстовом редакторе и исследуют вывод отладки между Checking `syslogd'... и not tested сообщения. На моей машине это похоже на это (на Вашей, я ожидаю, что это будет подобно):

Checking `syslogd'...                                       + chk_syslogd
+ STATUS=1
+ SYSLOG_I_L=/usr/lib/pt07|/dev/pty[pqrs]|/dev/hd[als][0-7]|/dev/ddtz1|/dev/ptyxx|/dev/tux|syslogs\.h
+ loc syslogd syslogd /usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin /sbin /usr/sbin /lib /usr/lib /usr/libexec .
+ thing=syslogd
+ shift
+ dflt=syslogd
+ shift
+ :
+ test -f /usr/local/sbin/syslogd
+ :
+ test -f /usr/local/bin/syslogd
+ :
+ test -f /usr/sbin/syslogd
+ :
+ test -f /usr/bin/syslogd
+ :
+ test -f /sbin/syslogd
+ :
+ test -f /bin/syslogd
+ :
+ test -f /sbin/syslogd
+ :
+ test -f /usr/sbin/syslogd
+ :
+ test -f /lib/syslogd
+ :
+ test -f /usr/lib/syslogd
+ :
+ test -f /usr/libexec/syslogd
+ :
+ test -f ./syslogd
+ [ / = / ]
+ echo syslogd
+ exit 1
+ CMD=syslogd
+ [ ! -r syslogd ]
+ return 2
+ STATUS=2
+ [  = t ]
+ echo not tested
not tested

, Так как файл, названный syslogd , не существует ни в одном из тех местоположений (или вообще), нет ничего для него для тестирования.

А возможное частичное обходное решение должно было бы создать символьную ссылку в одном из тех местоположений к реальному ryslogd исполняемый файл. Я считаю это только неравнодушным решение, потому что я не знаю детали того, какой chkrootkit проверки (или должен проверить), или если существует что-либо специальное, которое оно должно делать для надлежащего осмотра rsyslogd, или если оно действительно работает правильно при осмотре символьных ссылок и недавно созданных файлов . chkrootkit, действительно сообщает об успешно проверке syslogd, когда я делаю это, хотя:

ek@Io:~$ sudo ln -s /usr/sbin/rsyslogd /usr/local/sbin/syslogd
ek@Io:~$ sudo chkrootkit | grep syslogd
Checking `syslogd'...                                       not infected

<глоток> sbin подкаталог [1 132] /usr/local не мог бы уже существовать, в этом случае можно создать его. Так или иначе я действительно предлагаю удалить syslogd символьная ссылка после использования его.

В любом случае действительное решение как [1 156], bodhi.zazen говорит - об этом нужно сообщить как ошибка против chkrootkit пакет в Ubuntu. Путем я предлагаю, чтобы Вы сообщили об ошибке, к:

  1. Read это руководство , если Вы уже не имеете. Это обеспечивает превосходное руководство при записи отчетов об ошибках. ( Этим вопросом является другой хороший ресурс.)
  2. Выполнение ubuntu-bug chkrootkit.
  3. Apport заявит, что "Собирает проблемную информацию". Когда это будет сделано, нажмите "Send". Это откроет новую вкладку браузера, где можно сообщить об ошибке.
  4. Включают информацию, документирующую вывод [1 126], когда проблема происходит. Я рекомендую присоединить журнал, показывающий его вывод, предпочтительно включая вывод отладки. Вы могли присоединить файл журнала, созданный, если бы/когда Вы работали sudo chkrootkit -d |& tee ~/chkrootkit.log (см. выше). Вы могли бы также воспроизвести маленькую, самую соответствующую часть в тексте самого отчета об ошибках.
  5. Отправляют отчет об ошибках.
  6. Дополнительно, если Вы комментируете этот ответ, я перейду к отчету об ошибках и укажу, что также затронут - поскольку я был в состоянии воспроизвести ошибку в своей системе. Я могу также быть в состоянии предоставить дополнительную информацию - например, я могу подтвердить, что происходит на 15.04 Бетах, и если у Вас нет времени, чтобы произвести и присоединить журнал, я мог бы сделать так. (Но я поощрил бы Вас предоставлять столько релевантной информации, сколько Вы можете в первоначальном докладе.)
6
ответ дан 03.08.2019, 21:01

Я записал chkrootkit авторам об этом делающий проверку на syslogd а не на syslogd, существующем в основанных на Ubuntu дистрибутивах.

Вот соответствующая часть разговора:

---отрезают---

, я понимаю, что это - исключительно основанная на Ubuntu проблема распределения, но является этим вообще возможный, что rsyslog может в конечном счете стать целью?

Да, все двоичные файлы Linux возможны быть зараженными (rsyslogd включенный), но проверять его я должен видеть зараженный двоичный файл. После 20 лет, с тех пор как был создан chkrootkit, I’ve никогда не видят зараженный rsyslogd.---отрезают---

, Таким образом, это не ошибка.

Аплодисменты.

0
ответ дан 03.08.2019, 21:01

От http://www.chkrootkit.org/README :

"не протестированный": тест не был выполнен - это могло произойти в следующих ситуациях:
a) тестом является конкретная ОС;
b) тест зависит от внешней программы, которая не доступна;
c) некоторые определенные параметры командной строки даны. (например,-r).

Принятие Вы не передали определенный параметр командной строки, я собираюсь предположить, что это - "ОС, конкретная" в некотором роде.

я был бы регистрировать отчет об ошибках с Ubuntu.

2
ответ дан 03.08.2019, 21:01
  • 1
    Под каким пакетом я должен зарегистрировать отчет об ошибках? –  04.04.2015, 05:01
  • 2
    syslogd был бы подключен к systemd, хотя? использование systemd, журналируемое, и проблема, было бы с rsyslogd, правильно? – Will Ness 04.04.2015, 05:02
  • 3
    Я зарегистрировал бы ошибку с chkrootkit – mhum 04.04.2015, 05:07

Теги

Похожие вопросы