rkhunter: правильный способ обрабатывать предупреждения дальше?


8

Я гуглил и проверил две первые ссылки, которые он нашел:

  1. http://www.skullbox.net/rkhunter.php
  2. http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/

Они не упоминают, что мне делать в случае таких предупреждений:

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

В1: Существуют ли более расширенные инструкции, которые объясняют, как обращаться с предупреждениями разного рода?

И второй вопрос. Достаточно ли было моих действий для устранения этих предупреждений?

а) Найти пакет, который содержит подозрительный файл, например, это debianutils для файла / bin /, который

~ > dpkg -S /bin/which
debianutils: /bin/which

б) Чтобы проверить контрольные суммы пакета debianutils:

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

в) чтобы расслабиться, /bin/whichкак я вижу, хорошо

/bin/which                                                                    OK

d) Для того, чтобы поместить файл /bin/whichв /etc/rkhunter.confкачествеSCRIPTWHITELIST="/bin/which"

e) Для предупреждений относительно файла, который /usr/bin/lynxя обновляю контрольной суммойrkhunter --propupd /usr/bin/lynx.cur

Q2: я разрешаю такие предупреждения правильно?


US CERT - Действия по восстановлению после компрометации системы UNIX или NT :In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.
ignis

Ответы:


3

Использование debsums- очень умная идея с одним существенным недостатком: если что-то будет перезаписывать файл, принадлежащий корню, например /bin/which, оно может также переписать /var/lib/dpkg/info/*.md5sumsс обновленной контрольной суммой. Насколько я вижу, нет цепочки поставок обратно к сигнатуре Debian / Ubuntu. Что является настоящим позором, потому что это был бы действительно простой, действительно быстрый способ проверить подлинность живого файла.

Вместо того, чтобы действительно проверить файл, вам нужно скачать свежую копию этого deb, извлечь внутреннюю control.tar.gzи затем посмотреть на ее файл md5sums, чтобы сравнить с реальным md5sum /bin/which. Это болезненный процесс.

Скорее всего, здесь произошло то, что у вас было несколько системных обновлений (даже обновление дистрибутива), и вы не просили rkhunter обновить его профили. rkhunter должен знать, какими должны быть файлы, поэтому любые системные обновления могут его расстроить.

Если вы знаете, что что-то безопасно, вы можете запустить, sudo rkhunter --propupd /bin/whichчтобы обновить ссылку на файл.

Это одна из проблем с rkhunter. Он нуждается в глубокой интеграции с процессом deb, чтобы при установке доверенных подписанных пакетов rkhunter обновлял свои ссылки на файлы.


И нет, я бы не стал вносить подобные вещи в белый список, потому что это именно то, за что руткит мог бы пойти.


Спасибо, Оли, я очень ценю твои объяснения, но я бы предпочел практическое решение или обходной путь. Я открываю еще одну награду. Если я не получу то, что мне нужно, я назначу награду за ваш ответ. Хорошо?)
Зуба

1

зуба, идея белого списка плохая; он отменяет назначение проверяемого файла, который должен быть виден вам и вашему анти-вредоносному ПО, хотя эта идея используется и просмотр сообщения безвреден. Можем ли мы создать переписку вместо этого, будет лучше. где-нибудь вдоль строк \ строк, начинающихся с \, будет игнорироваться; но это требует некоторого опыта программирования и глубоких знаний о работе rkhunter.

Контейнер /, который будет переписан при необходимости для учета изменений в программировании; Как правило, один файл может быть заменен, или файлы могут быть временно созданы и изменены или исчезнуть после перезагрузки, что может обмануть программное обеспечение rkhunter.

Существует линия, где программное обеспечение / обновления или антивирусные программы напоминают руткит, и я считаю, что это один из них.

Используемый вами метод опасен только в том случае, если он изменяет программу или файл, которые (действуют) каким-либо образом влияют на работу компьютера. Иногда мы хуже наших машин на этот счет. Доказать это для вашего компьютера действительно несправедливо, если бы он был моим. Я знал бы, документировал предупреждения и контрольные суммы и отмечал бы каждый раз, когда было изменение.


1
Да, я согласен с тем, что белый список / bin / является плохой идеей
zuba
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.