Detecção suspeita. (RESOLVIDO)

[Rafael Favero]

Olá, por caso resolvi passar o chkrootkit e houve algumas possíveis detecções, gostaria de saber, para quem é mais experiente se tais detecções são verídicas ou falsos-positivos já que aparentemente foram bastantes. 

Link da descrição do scan: https://ghostbin.com/paste/sf9mf

Ubuntu 16.04

Desde já agradeço a ajuda.

Caso precisem de mais informações peçam, ressalto que anteriormente em outros tópicos meus há a informação do meu sistema e hardware.

[druidaobelix]

A questão está nessas duas linhas, certo?

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:

/usr/lib/debug/.build-id /usr/lib/pymodules/python2.7/.path /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-7-oracle.jinfo /usr/lib/jvm/java-7-oracle/lib/visualvm/profiler/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-7-oracle/lib/visualvm/platform/.lastModified /usr/lib/jvm/java-7-oracle/lib/missioncontrol/.eclipseproduct /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.lock /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/4.4.0-38-generic/vdso/.build-id /lib/modules/4.4.0-43-generic/vdso/.build-id /lib/modules/4.4.0-36-generic/vdso/.build-id /lib/modules/4.4.0-34-generic/vdso/.build-id /lib/modules/4.4.0-42-generic/vdso/.build-id


/usr/lib/debug/.build-id /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/profileRegistry/JMC.profile/.data /usr/lib/jvm/java-7-oracle/lib/missioncontrol/p2/org.eclipse.equinox.p2.engine/.settings /lib/modules/4.4.0-38-generic/vdso/.build-id /lib/modules/4.4.0-43-generic/vdso/.build-id /lib/modules/4.4.0-36-generic/vdso/.build-id /lib/modules/4.4.0-34-generic/vdso/.build-id /lib/modules/4.4.0-42-generic/vdso/.build-id

Estou apostando 100 por 1 que não há nada aí.

Note que a mensagem do chkrootkit diz "suspicious" e não "infected", isto é, "suspeito", mas não literalmente "infectado".

Por que suspeito?

O chkrootkit só olha para as assinaturas, ele não verifica a presença de arquivos rootkit conhecidos, tornando-se propenso a falsos positivos. Java é notória para desencadear estes falsos positivos, assim como muitas outras ferramentas de programação.

Aliás, todo e qualquer software, incluindo e principalmente navegadores, que olhe para java sempre o estará fazendo de forma suspeita, pois java é o campeão nisso.

Entretanto, vejo que você está usando o Cinnamon.

System:    Host: Rafael-desktop Kernel: 4.4.0-38-generic x86_64 (64 bit gcc: 5.4.0)
           Desktop: Cinnamon 3.0.7 (Gtk 3.18.9-1ubuntu3.1)
           Distro: Ubuntu 16.04 xenial

Que Cinnamon é esse?
É instalado a partir do site do Mint ou é uma ppa?

Digo isso porque o site do Mint havia sido invadido em 20 de fevereiro deste ano, 2016, e então os arquivos iso foram adulterados.

Mas se fez a lição de casa ao baixar e instalar, conferindo o MD5 do iso, então não haveria risco.

As assinaturas válidas são essas:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

O arquivo adulterado produto da invasão estava em:

/var/lib/man.cy

O seu Cinnamon é Linux Mint Cinnamon?
De quando é o download do iso, é de 20/02/2016?

[Rafael Favero]

Instalei por ppa, isso foi recentemente, se não me engano faz poucas semanas, menos de 1 mês.

A versão é Cinnamon 3.0.7
 
Lembro-me que instalei a partir do tutorial do Diolinux: http://www.diolinux.com.br/2016/05/como-instalar-o-cinnamon-30-no-ubuntu.html

Troquei o ambiente, o outro estava muito pesado, então resolvi experimentar esse, esse foi o motivo da mudança.

[druidaobelix]

Uma hora qualquer que estiver animado, e com tempo, ainda vou fazer um tópico para tentar explicar de forma mais detalhada porque é tão difícil ocorrer alguma contaminação no Linux, o que é um fato, vez que há pelo menos 10 anos não se tem notícias de vírus no Linux.

O melhor cuidador do seu sistema é você próprio, a cautela e atenção que você dá a ele, não incorrendo em práticas imprudentes desnecessariamente.

Nada obstante, a própria realidade da arquitetura do sistema dificulta muito a contaminação por vírus, por inúmeras e variadas razões, uma das quais é a enorme varidade de kernels e distribuições, lembrando que os drivers são compilados para cada um específico kernel.

Qualquer pequena mudança no kernel ou característica própria da distribuição já faria com que o vírus não conseguisse executar e contaminar.

Um vírus de computador não é um programa genérico e sim, como todo e qualquer programa, algo específico, que espera encontrar um situação específica, assim, ao se defrontar com essa enorme variabilidade do mundo Linux, isso resulta numa quase impossibilidade de multiplicação replicação das contaminações.

Mas como disse, isso é assunto para uma longa dissertação. 

[Rafael Favero]

Compreendo, após sua explicação entendi melhor sobre os vírus e seus funcionamentos no Linux.

Irei me aprofundar mais nesse assunto, mas estarei mais calmo em relação aos vírus.

Grato pela ajuda, foi muito esclarecedora!