Remoção de Softwares Maliciosos

Iniciado por Marcorelio, 04 de Abril de 2016, 15:01

tópico anterior - próximo tópico

Marcorelio

Pessoal, Utilizei o Rootkit Hunter (rkhunter) e Lynis, para verificar sofwares Amaliciosos e meus sistema ubuntu dectou o seguinte:
/usr/sbin/prelink                                        [ Warning
/usr/bin/telnet                                          [ Warning ]
/usr/bin/telnet.netkit                                   [ Warning
Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning
Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for an SSH configuration file                   [ Not found ]
    Checking for a running system logging daemon             [ Found ]
    Checking for a system logging configuration file         [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed

e agora, como posso remover estes arquivos supostamentes contaminados???

zekkerj

/usr/bin/telnet e /usr/bin/telnet.netkit são arquivos do pacote "telnet".

/usr/bin/prelink é um arquivo do pacote "prelink".

Se você usa esses aplicativos, reinstale-os a partir do repositório, com o comando abaixo:

sudo apt-get install --reinstall telnet prelink

Depois atualize as referências do RKHunter. Se não utiliza, desinstale os pacotes.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Marcorelio

fiz o que disse, porém a o passar novamente o RKHunter, as mesmas ameaçãs continuam a serem detectadas, será que faltou algum procedimento de minha parte? aguardo

zekkerj

Sim, faltou atualizar o RKHunter. Ele está estranhando esses arquivos pq está desatualizado.
Depois de atualizar seu sistema, vc deve atualizar o RKHunter p/ que ele veja uma nova "fotografia" dos programas instalados.

E lembre-se de que vc sempre pode remover os pacotes que não usa.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Marcorelio

Ok, Obrigado amigo, realmente achei melhor removê-los. Pois alguém remotamente poderia estar ou utilizalos, certo? Abraço

zekkerj

Acho pouco provável.

O prelink é um utilitário pra agilizar a carga dos executáveis, e o telnet é o cliente do protocolo com o mesmo nome.

Embora sejam arquivos sensíveis, o mais provável é que uma infecção viesse acompanhada de mais arquivos modificados.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D