itproject
07.06.2013
view3629
view6
0
Goto Top

Rkhunter alle Meldungen clear

gelöstFrageLinuxDebian
Hallo zusammen,

habe einen rkhunter im Einsatz

nach "rkhunter -c" habe ich folgende Einträge im log:

tail -f /var/log/rkhunter.log |grep Warning
tail: /var/log/rkhunter.log: file truncated
[10:30:13]   /usr/sbin/adduser                               [ Warning ]
[10:30:13] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable  
[10:30:15]   /usr/bin/ldd                                    [ Warning ]
[10:30:15] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable  
[10:30:18]   /bin/which                                      [ Warning ]
[10:30:18] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable  
[10:30:34]   Checking /dev for suspicious file types         [ Warning ]
[10:30:34] Warning: Suspicious file types found in /dev:
[10:30:35]   Checking for hidden files and directories       [ Warning ]
[10:30:35] Warning: Hidden directory found: '/dev/.udev'  
[10:30:35] Warning: Hidden directory found: '/dev/.initramfs'  
[10:30:35]   Checking version of GnuPG                       [ Warning ]
[10:30:35] Warning: Application 'gpg', version '1.4.10', is out of date, and possibly a security risk.  
[10:30:35]   Checking version of OpenSSL                     [ Warning ]
[10:30:35] Warning: Application 'openssl', version '0.9.8o', is out of date, and possibly a security risk.  
[10:30:35]   Checking version of OpenSSH                     [ Warning ]
[10:30:35] Warning: Application 'sshd', version '5.5p1', is out of date, and possibly a security risk.

Ich möchte alle Meldungen auf clear setzen...

Wenn ich nun z.b. adduser als "vertrauenswürdige" änderung für rkhunter hinzufügen möchte muss ich dann folgendes machen?:

rkhunter --propupd /usr/bin/adduser

Oder:

rkhunter --propupd adduser


Habe beides ausprobiert, und weiterhin taucht adduser im Warning auf.


Hat vielleicht jemand mit mehr Erfahrung den einen oder anderen Tip für mich ;)?

Danke im Vorraus!
Itproject
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 207676

Url: https://administrator.de/contentid/207676

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
64748
64748 07.06.2013 um 19:16:20 Uhr
Goto Top
Hallo,

zuerst führt man rkhunter so aus 
rkhunter --propupd
damit legt es eine Datenbank an /var/lib/rkhunter/db/rkhunter.dat dort werden die Dateieigenschaften der ausführbaren Dateien gespeichert.

Wenn man danach rkhunter mit der Option --checkall ausführt, dann sollten die Warnungen z.B. bei adduser nicht mehr erscheinen.
Dein Befehl 
rkhunter --propupd /usr/bin/adduser
wird nach dem Programmupdate gemacht. Damit generiert rkhunter seine Informationen über das adduser Programm neu. Das setzt aber voraus, dass diese Datenbank mit dem o.g. Befehl angelegt wurde.

Außerdem ist der Pfad /usr/sbin/adduser und nicht /usr/bin/adduser (zumindest hier bei mir, teste das mit "which adduser"). Ach ja, Dir ist klar, dass Du rkhunter als root oder mit sudo aufrufen musst?

Markus
heart1
16568
16568 07.06.2013 um 20:38:07 Uhr
Goto Top
Und ein Update sollte auch mal Wunder bringen...

Mach das, dann reden wir weiter.
(olle Spamschleuder...)


Lonesome Walker
itproject
itproject 10.06.2013 um 10:45:38 Uhr
Goto Top
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

root@webserver:/home/user# rkhunter --propupd
[ Rootkit Hunter version 1.4.0 ]
File updated: searched for 169 files, found 136
root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser
Filename is not in the "rkhunter.dat" file: /usr/bin/adduser  
root@webserver:/home/user#

Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:

File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::

Also adduser scheint in der Datei zu sein, beim check mit rkhunter bekomme ich allerdings immernoch Warnings.

Danke für eure Hilfe, brauche sie aber noch ein bisschen ;)
itproject
itproject 10.06.2013 um 11:05:01 Uhr
Goto Top
Zitat von @itproject:
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

> root@webserver:/home/user# rkhunter --propupd

> root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser
> Filename is not in the "rkhunter.dat" file: /usr/bin/adduser  

> Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:  
> 
> File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::
>


OK, das war ein Schreibfehler, hab mit /usr/sbin/adduser die Datei einlesen können, steht allerdings immernoch auf Warning, im Log Taucht auf, dass die Datei durch ein Script ersetzt wurde, dieses ist allerdings in der rkhunter.conf als vertrauenswürdig hinzugefügt.
itproject
itproject 10.06.2013 um 11:13:25 Uhr
Goto Top
Also liebe Leute Problem ist gelöst.

Habe gerade herausgefunden, dass es nach einem rkhunter --update eine NEUE! rkhunter.conf erstellt wurde, wo Whitelisteinträge komplett aussen vor waren!

Habe nun einen softlink von /etc/rkhunter.conf auf /usr/local/etc/rkhunter.conf gemacht, und BUMM es klappt auch ... man man man wer denkt denn schon an sowas face-smile

lrwxrwxrwx 1 root staff 18 Jun 10 11:09 /usr/local/etc/rkhunter.conf -> /etc/rkhunter.conf

DANKE FÜR EUREN SUPPORT!
16568
16568 10.06.2013 um 13:12:49 Uhr
Goto Top
Dann Haken setzen nicht vergessen face-wink


Lonesome Walker
gelöstFrageLinuxDebian
Mehr von itprojectitprojectRODC - The server did not register with DCOM within the required timeoutitproject - 2 KommentareitprojectVPN Konfiguration End - Site(NAT) - Site mit Fortigateitproject - 3 KommentareitprojectFortinet IPSEC VPN - Cannot Choose existing Tunnel.itproject - 2 KommentareitprojectHP ProCurve Switche nicht auffindbar - VOIP QoSitproject - 13 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare