Xubuntu riceve pacchetti NetBios su UDP dal mio router

[thece]

Perchè io tcpd in /usr/sbin/ non lo vedo e pensavo dunque che il file fosse tcpdump ...

Ah beh, allora sei giustificato

... perchè non lo vedo da root con ls -a?

Forse perchè non c'è? Quell'eseguibile puo essere installato da due pacchetti diversi, in due posizioni diverse.
Prova a fare una ricerca ad ampio raggio

Codice: Seleziona tutto

sudo find / -iname "*tcpd*"

[Gianluca912]

OK ho usato il comando find ma trova solo tcpdump dunque o tcpd è l'abbreviazione per tcpdump (impossibile) oppure questo file non c'è in Xubuntu 18.04 e chkrootkit si è sbagliato.

Codice: Seleziona tutto

# find / -iname "*tcpd*"
/etc/apparmor.d/usr.sbin.tcpdump
/etc/apparmor.d/local/usr.sbin.tcpdump
/etc/apparmor.d/cache/usr.sbin.tcpdump
/usr/sbin/tcpdump
/usr/share/man/man8/tcpdump.8.gz
/usr/share/bash-completion/completions/tcpdump
/usr/share/doc/tcpdump
/usr/share/mime/application/vnd.tcpdump.pcap.xml
find: ‘/run/user/1000/gvfs’: Permission denied
/var/lib/dpkg/info/tcpdump.postinst
/var/lib/dpkg/info/tcpdump.postrm
/var/lib/dpkg/info/tcpdump.conffiles
/var/lib/dpkg/info/tcpdump.list
/var/lib/dpkg/info/tcpdump.md5sums
find: ‘/proc/1529/task/1529/net’: Invalid argument
find: ‘/proc/1529/net’: Invalid argument

Comunque grazie per adesso, magari reinstallo tutto per essere sicuro che non ci sia nulla e via.. rimarebbe comunque il router, però ok.

[thece]

Dunque, io propendo per l'idea che:

- tu ti sia allarmato per nulla
- chrootkit abbia rilevato un falso positivo
- tu non abbia sul file system l'eseguibile tcpd

comunque il fatto che chrootkit abbia evidenziato tcpd come infetto e che lo stesso eseguibile non venga trovato da find è coerente con l'ipotesi rootkit.
Per essere certi del falso positivo dovresti ripetere la ricerca dell'eseguibile tcpd sul file system ma eseguendola da una live. In questo modo il rootkit sarebbe inattivo.

Per quanto riguarda il tuo modem / router xDSL, per ripristinarlo, dovresti riflashare il firmware.

[Gianluca912]

Dunque, io propendo per l'idea che:

- tu ti sia allarmato per nulla
- chrootkit abbia rilevato un falso positivo
- tu non abbia sul file system l'eseguibile tcpd

Sono d'accordo con te, ho infatti provato ad avviare da live-usb chkrootkit scoprendo che il rootkit viene rilevato anche in live. Poi l'ho installato su VirtualBox ho avviato di nuovo chkrootkit e anche lì viene rilevato. Dunque visto che l'immagine iso è orginale e che la checksum corrisponde, ritengo che la rilevazione del rootkit sia solo un falso positivo. Riguardo al router il flash del firmware e il reset delle impostazioni non cambiano la situazione perciò si tratta sicuramente di un bug del firmware del produttore. Fatemi sapere qualcosa se pensiate possa sbagliarmi. Grazie a tutti per adesso.