web-dev-qa-db-fra.com

Ce qui est exactement /lib/modules/4.4.0-xx-generic/vdso/.build-id

J'ai fait une recherche rootkit avec Chkrootkit et il propose cet étrange ensemble de fichiers:

/usr/lib/debug/.build-id 
/lib/modules/4.4.0-51-generic/vdso/.build-id 
/lib/modules/4.4.0-47-generic/vdso/.build-id 
/lib/modules/4.4.0-38-generic/vdso/.build-id 
/lib/modules/4.4.0-36-generic/vdso/.build-id 
/lib/modules/4.4.0-45-generic/vdso/.build-id
/usr/lib/debug/.build-id 
/lib/modules/4.4.0-51-generic/vdso/.build-id 
/lib/modules/4.4.0-47-generic/vdso/.build-id 
/lib/modules/4.4.0-38-generic/vdso/.build-id 
/lib/modules/4.4.0-36-generic/vdso/.build-id 
/lib/modules/4.4.0-45-generic/vdso/.build-id

Quoi sont exactement ceux-ci? Je suis assez certain qu'ils sont tous fausses positifs, mais je ne sais toujours pas ce qu'ils sont et pourquoi ils sont là. J'ai fait un peu de recherche et on dirait que ce sont des images de noyau laissées par rapport aux mises à jour précédentes.

Alors, pourquoi sont-ils libellés un faux positif et comment puis-je vous en débarrasser?

1
Astrum

/lib/modules/ est le répertoire pour stocker des modules. Le bit suivant (avec les chiffres) est le numéro du noyau de ces modules appartenant à.

vdso au nom du module (elle signifie virtual dynamic shared object). Votre système fait beaucoup d'appels "systèmes" (comme la lecture et l'écriture sur le disque, les autorisations de subvention, etc.) et prend beaucoup de ressources pour effectuer chacune d'elles. Mais ces appels sont également faits beaucoup. Le module vdso a été créé pour aider à améliorer le temps nécessaire en allouant la mémoire.

De - Wikipedia :

vDSO (objet virtuel dynamiquement lié) est un mécanisme de noyau Linux d'exportation d'un ensemble soigneusement sélectionné de routines d'espace de noyau aux applications spatiales de l'utilisateur afin que les applications puissent appeler ces routines spatiales de noyau, sans engager la pénalité de performance d'un commutateur de contexte qui est inhérent lorsque vous appelez ces mêmes routines spatiales de noyau au moyen de l'interface d'appel système.

Quelques informations supplémentaires à ce sujet:

  • gitbooks: Partie 1 , Partie 2 , Partie Tout sur les appels système. La partie 2 concerne "VDSO" et "VSYSCALL".

Je suis assez certain qu'ils sont tous faux positifs

Probablement (comme avec 99,999999% de toutes ces notices rootkits;)) Mais vous devez probablement comparer ces fichiers avec un système propre et vérifier des éléments tels que la taille du fichier, les dernières heures de modification pour vérifier visuellement s'il s'agit d'un faux positif.


Au fait: le /lib/modules/ Le répertoire peut devenir grand rapidement. Il est prudent de supprimer les vieux noyaux (enregistrer le courant et le plus ancien le plus ancien pour vous assurer de recevoir une sauvegarde). Voir: Comment puis-je supprimer les anciennes versions du noyau pour nettoyer le menu de démarrage?

Supprimer la version ancienne abaisse également la quantité de notifications de votre rootkit;)

1
Rinzwind