Habe mit rkhunter meinen PC gescannt. RKHUNTER meldet keine ifizierten Programme. Allerdings hat chkrootkit über meinen PC eine andere Meinung: Searching for Suckit rootkit… Warning: /sbin/init INFECTED.
Das bedeutet ja schließlich, dass ich das SUCKIT rootkit auf meinem PC habe. Wie kann ich es entfernen?
Hi,
dazu muss man wohl rauskriegen, wie dieses rootkit funktioniert, und wie man es entdecken kann.
Wie prüft denn chkrootkit? Anhand von Prüfsummen? Anhand bestimmter Dateimuster?
Bis dahin kannst Du erstmal von einem Fehlalarm ausgehen.
Bei google findet man was über Reste im Speicher nach einem update, da soll wohl ein reboot geholfen haben.
Unter [ubuntu] Checking Suckit rootkit False positive. - Ubuntu Forums]([ubuntu] Checking Suckit rootkit False positive.) habe ich folgenden Test gefunden: “The SucKIT rootkit allows an attacker to hide malicious files by giving them a particular ending. The current
attacker is hiding code that ends in xrk or mem. To test for the presence of the rootkit, create a file whose name ends in xrk or mem, then execute an “ls -l”. If the files you just created are not shown in the output of ls, it means that the rootkit is hiding them, ie. your system is compromised and needs to be rebuilt.”
Zum Glück war bei mir alles ok also Fehlalarm!