如何處理假定的 chkrootkit 誤報

我apt-install在新安裝的 Ubuntu 伺服器 16.04.3 中安裝了 chkrootkit。

chkrootkit 首次執行後發現可疑文件和目錄：

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
/usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/noentry/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_time/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_anon/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest_wrongrelm/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/digest/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/authz_owner/.htpasswd /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htaccess /usr/lib/python3/dist-packages/fail2ban/tests/files/config/apache-auth/basic/file/.htpasswd /lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id
/lib/modules/4.4.0-87-generic/vdso/.build-id /lib/modules/4.4.0-96-generic/vdso/.build-id

我注意到三年前 stackexchange 的另一個使用者發現了相同的誤報並發布了Chkrootkit 發現了很多可疑的文件和目錄，以及 /sbin/init INFECTED。

在chkrootkit 官方網站的常見問題解答編號 8中聲明他們不能將誤報列入白名單，因為攻擊者可能會使用它，因為他知道 chkrootkit 會忽略某些文件和目錄。

您建議如何處理這一長長的文件和目錄列表？如何檢查它們是否為誤報？如果它們是誤報，有沒有辦法將這些文件與其原始內容進行比較（如使用 的包dpkg -V）？

由於顯而易見的原因，通常不推薦使用白名單（參見chkrootkit FAQ #8）。

但是，正如您特別要求的那樣， 如何處理 chkrootkit中的潛在 FP 中提到了一種方法（使用 debian），當然，由您自己評估和承擔風險：

/usr/sbin/chkrootkit | /bin/grep -vf /usr/local/share/chkrootkit/ignore-fp.txt

/usr/local/share/chkrootkit/ignore-fp.txt包含要忽略的正則表達式或文件。

使用 debian，您可以檢查已知的良好安裝文件：

/usr/bin/debsums -sa

包括配置文件檢查（“-a”）並且只報告錯誤“-s”），cf使用 debsums。

與往常一樣，使用常識，投入大量時間並進行仔細調查。練習積極主動和事前行為是該領域的關鍵。強化系統的最佳實踐在網路上隨處可見，一定要進行大量研究，避免只選擇一個或第一個清單。需要持續的工作才能保持領先地位。**總結：**在這種情況下，白名單似乎不是要走的路。

高溫高壓

引用自：https://unix.stackexchange.com/questions/394745