itproject
Goto Top

Rkhunter alle Meldungen clear

Hallo zusammen,

habe einen rkhunter im Einsatz

nach "rkhunter -c" habe ich folgende Einträge im log:

tail -f /var/log/rkhunter.log |grep Warning
tail: /var/log/rkhunter.log: file truncated
[10:30:13]   /usr/sbin/adduser                               [ Warning ]
[10:30:13] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable  
[10:30:15]   /usr/bin/ldd                                    [ Warning ]
[10:30:15] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable  
[10:30:18]   /bin/which                                      [ Warning ]
[10:30:18] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable  
[10:30:34]   Checking /dev for suspicious file types         [ Warning ]
[10:30:34] Warning: Suspicious file types found in /dev:
[10:30:35]   Checking for hidden files and directories       [ Warning ]
[10:30:35] Warning: Hidden directory found: '/dev/.udev'  
[10:30:35] Warning: Hidden directory found: '/dev/.initramfs'  
[10:30:35]   Checking version of GnuPG                       [ Warning ]
[10:30:35] Warning: Application 'gpg', version '1.4.10', is out of date, and possibly a security risk.  
[10:30:35]   Checking version of OpenSSL                     [ Warning ]
[10:30:35] Warning: Application 'openssl', version '0.9.8o', is out of date, and possibly a security risk.  
[10:30:35]   Checking version of OpenSSH                     [ Warning ]
[10:30:35] Warning: Application 'sshd', version '5.5p1', is out of date, and possibly a security risk.  

Ich möchte alle Meldungen auf clear setzen...

Wenn ich nun z.b. adduser als "vertrauenswürdige" änderung für rkhunter hinzufügen möchte muss ich dann folgendes machen?:

rkhunter --propupd /usr/bin/adduser

Oder:

rkhunter --propupd adduser


Habe beides ausprobiert, und weiterhin taucht adduser im Warning auf.


Hat vielleicht jemand mit mehr Erfahrung den einen oder anderen Tip für mich ;)?

Danke im Vorraus!
Itproject

Content-ID: 207676

Url: https://administrator.de/forum/rkhunter-alle-meldungen-clear-207676.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

64748
64748 07.06.2013 um 19:16:20 Uhr
Goto Top
Hallo,

zuerst führt man rkhunter so aus
rkhunter --propupd
damit legt es eine Datenbank an /var/lib/rkhunter/db/rkhunter.dat dort werden die Dateieigenschaften der ausführbaren Dateien gespeichert.

Wenn man danach rkhunter mit der Option --checkall ausführt, dann sollten die Warnungen z.B. bei adduser nicht mehr erscheinen.
Dein Befehl
rkhunter --propupd /usr/bin/adduser
wird nach dem Programmupdate gemacht. Damit generiert rkhunter seine Informationen über das adduser Programm neu. Das setzt aber voraus, dass diese Datenbank mit dem o.g. Befehl angelegt wurde.

Außerdem ist der Pfad /usr/sbin/adduser und nicht /usr/bin/adduser (zumindest hier bei mir, teste das mit "which adduser"). Ach ja, Dir ist klar, dass Du rkhunter als root oder mit sudo aufrufen musst?

Markus
16568
16568 07.06.2013 um 20:38:07 Uhr
Goto Top
Und ein Update sollte auch mal Wunder bringen...

Mach das, dann reden wir weiter.
(olle Spamschleuder...)


Lonesome Walker
itproject
itproject 10.06.2013 um 10:45:38 Uhr
Goto Top
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

root@webserver:/home/user# rkhunter --propupd
[ Rootkit Hunter version 1.4.0 ]
File updated: searched for 169 files, found 136
root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser
Filename is not in the "rkhunter.dat" file: /usr/bin/adduser  
root@webserver:/home/user#

Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:

File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::

Also adduser scheint in der Datei zu sein, beim check mit rkhunter bekomme ich allerdings immernoch Warnings.

Danke für eure Hilfe, brauche sie aber noch ein bisschen ;)
itproject
itproject 10.06.2013 um 11:05:01 Uhr
Goto Top
Zitat von @itproject:
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

> root@webserver:/home/user# rkhunter --propupd

> root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser
> Filename is not in the "rkhunter.dat" file: /usr/bin/adduser  

> Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:  
> 
> File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::
> 


OK, das war ein Schreibfehler, hab mit /usr/sbin/adduser die Datei einlesen können, steht allerdings immernoch auf Warning, im Log Taucht auf, dass die Datei durch ein Script ersetzt wurde, dieses ist allerdings in der rkhunter.conf als vertrauenswürdig hinzugefügt.
itproject
itproject 10.06.2013 um 11:13:25 Uhr
Goto Top
Also liebe Leute Problem ist gelöst.

Habe gerade herausgefunden, dass es nach einem rkhunter --update eine NEUE! rkhunter.conf erstellt wurde, wo Whitelisteinträge komplett aussen vor waren!

Habe nun einen softlink von /etc/rkhunter.conf auf /usr/local/etc/rkhunter.conf gemacht, und BUMM es klappt auch ... man man man wer denkt denn schon an sowas face-smile

lrwxrwxrwx 1 root staff 18 Jun 10 11:09 /usr/local/etc/rkhunter.conf -> /etc/rkhunter.conf

DANKE FÜR EUREN SUPPORT!
16568
16568 10.06.2013 um 13:12:49 Uhr
Goto Top
Dann Haken setzen nicht vergessen face-wink


Lonesome Walker