我刚刚清理了我的黑客CentOS服务器(由于从版本5.3以来没有更新)。 但“chkrootkit”仍然这样说:
Possible t0rn v8 \(or variation\) rootkit installed /usr/lib/.libfipscheck.so.1.1.0.hmac /usr/lib/.libgcrypt.so.11.hmac /usr/lib/.libfipscheck.so.1.hmac /lib/.libcrypto.so.0.9.8e.hmac /lib/.libssl.so.0.9.8e.hmac /lib/.libssl.so.6.hmac /lib/.libcrypto.so.6.hmac /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist /usr/lib/gtk-2.0/immodules/.relocation-tag /usr/lib/python2.4/plat-linux2/.relocation-tag /usr/lib/python2.4/distutils/.relocation-tag /usr/lib/python2.4/config/.relocation-tag 难道“chkrootkit”只是不喜欢.mac,.packlist和.relocation-tag文件吗?
这些真的仍然感染?
我完全不相信“清理”受损的服务器,并认为“核离子”选项是唯一的补救措施。
无论如何,决定这些文件是否合法的唯一方法是将这些文件的校验和与干净安装中已知好文件的校验和进行比较,但是我认为事实是这些库文件名被a前缀. 把他们隐藏在一个正常的ls是绰绰有余的理由担心。
来自www.chkrootkit.org:
“问:chrootkit正在报告一些可疑的文件和目录:.packlist,.cvsignore等,这些显然是误报。你不能忽略这些吗?
答:忽略一些文件和目录可能会影响chkrootkit的准确性。 攻击者可能会使用它,因为他知道chkrootkit会忽略某些文件和目录。“