Rkhunter на что-то намекает...

vak64 · #1

Добрый день, уважаемые товарищи! Прошу помощи, ибо не понимаю что от меня хочет rkhunter. Вообщем проверил им систему и заметил он в ней следующие:

Performing file properties checks

/usr/bin/wget [ Warning ]
/sbin/ip [ Warning ]
/bin/ip [ Warning ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

Буду благодарен, если подскажите на что следует обратить внимание, что означают эти сообщения rkhunter???

!

Сообщение из: Dja

Rkhunter — это сканер различных видов локальных (потенциальных) уязвимостей (бэкдоров, эксплоитов и руткитов) со своей регулярно обновляемой базой.
Он написан на bash и perl, поэтому будет работать под любой серверной ОС на базе unix без каких-либо проблем. Информация для тех, кто не знает. Я вот не знал.

#2

vak64, По окончанию проверки он пишет

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Туда и смотри, за подробностями в /var/log/rkhunter.log

vak64 · #3

Посмотрел, спасибо,вот информация:

Warning: The file properties have changed: File: /usr/bin/wget файл изменен, это ясно, но насколько это опасно для системы?
Warning: The file properties have changed: File: /sbin/ip тоже самое
Warning: The file properties have changed: File: /bin/ip тоже самое

Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?

И что это за подозрительные типы файлов?:

Checking /dev for suspicious file types [ Warning ]
[13:11:55] Warning: Suspicious file types found in /dev:
[13:11:55] /dev/shm/pulse-shm-406032313: data
[13:11:55] /dev/shm/pulse-shm-1346336092: data
[13:11:55] /dev/shm/pulse-shm-2035961397: data
[13:11:55] /dev/shm/pulse-shm-1608521640: data
[13:11:55] /dev/shm/pulse-shm-3131475065: data
[13:11:55] /dev/shm/pulse-shm-1231016659: data
[13:11:55] Checking for hidden files and directories [ Warning ]

vak64 · #4

Warning: Hidden directory found: /etc/.java извините, забыл добавить...

Linuha · #5

https://www.linux.org.ru/forum/security/5049179

#6

vak64 писал(а): ↑
10 ноя 2017, 14:09
Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?

Именно так и было, вероятней всего. Он насколько я знаю должен писать и время модификации для того чтоб можно было отследить.
Чтоб убрать ворнинг должно хватить sudo rkhunter --propupd - он запишет текущие значение как эталонные, чтоб сравнивать при следующих проверках.

vak64 писал(а): ↑
10 ноя 2017, 14:09
И что это за подозрительные типы файлов?:

В разделяемой памяти (Shared Memory, /dev/shm) - приложения могут хранить разную фигнгю абсолютно. Поэтому не считаю это чем-то подозрительным

#7

vak64 писал(а): ↑
10 ноя 2017, 14:11
Warning: Hidden directory found: /etc/.java извините, забыл добавить...

Тоже подозрительным не выглядит, просто ему не нравится сам факт, что папка скрыта в /etc/ - правда зачем java так делает, неведомо)

Linuha · #8

И вообще , слово - warning - очень похоже на предупреждение - осторожно - окрашено.

#9

Linuha, в такого рода программах, коими подогревается (или наоборот усыпляется) пользовательская паранойя - игнорировать ворнинги бывает выше человечьих сил.
А вдруг уже взломали?

vak64 · #10

Да уж, это вы верно подметили)
Большое спасибо всем,теперь все ясно, просто я недавно в сфере linux так сказать, поэтому возникает иногда много вопросов...спасибо вам!

#11

Chocobo писал(а): ↑
10 ноя 2017, 14:26
А вдруг уже взломали?

И в штаны залезли, и в одно место вставили зонд

#12

vak64 писал(а): ↑
10 ноя 2017, 14:09
Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?

Ну да. Если ты проводил проверку до обновлений, а потом после, то всё понятно. Просто при обновах файлы меняют свою структуру и хантер орёт. Там тебе Chocobo, команду правильную дал

asa · #13

Что это значит?

asa@big:~$ sudo rkhunter -c --sk

[ Rootkit Hunter version 1.4.6 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]

Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for sniffer log files [ None found ]
Checking for suspicious directories [ None found ]
Checking for suspicious (large) shared memory segments [ Warning ]

Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/bin/lwp-request [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 145
Suspect files: 1

Rootkit checks...
Rootkits checked : 480
Possible rootkits: 6

Applications checks...
All checks skipped

The system checks took: 1 minute and 23 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

sudo rkhunter -c --enable all --disable none --rwo

Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
Warning: The following processes are using deleted files:
Process: /usr/bin/pulseaudio PID: 1495 File: /memfd:pulseaudio
Process: /usr/bin/nemo-desktop PID: 1659 File: /home/asa/.local/share/gvfs-metadata/home
Process: /usr/bin/cinnamon PID: 1690 File: /home/asa/.local/share/gvfs-metadata/home
Process: /opt/yandex/browser-beta/yandex_browser PID: 1889 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 1957 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /usr/bin/xed PID: 5111 File: /home/asa/.local/share/gvfs-metadata/home
Process: /opt/yandex/browser-beta/yandex_browser PID: 5595 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 5613 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 8901 File: /dev/shm/.ru.yandex.desktop.browser.tGa4Wu
Process: /opt/yandex/browser-beta/yandex_browser PID: 8946 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9012 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9035 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9058 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9080 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9099 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9124 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9145 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9171 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9178 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Warning: The following suspicious (large) shared memory segments have been found:
Process: /usr/lib/x86_64-linux-gnu/cinnamon-settings-daemon/csd-background PID: 1457 Owner: asa Size: 64MB (configured size allowed: 1,0MB)
Process: /usr/bin/nemo-desktop PID: 1659 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/python3.6 PID: 1728 Owner: asa Size: 1,0MB (configured size allowed: 1,0MB)
Process: /usr/lib/gnome-terminal/gnome-terminal-server PID: 2004 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1 PID: 1649 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/xed PID: 5111 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/rhythmbox PID: 5634 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Warning: Process '/sbin/wpa_supplicant' (PID 1019) is listening on the network.
Warning: Process '/sbin/wpa_supplicant' (PID 1019) is listening on the network.
Warning: Process '/sbin/dhclient' (PID 1159) is listening on the network.
Warning: Hidden directory found: /etc/.java

Я заболел?

Начинать паниковать?

#14

Вот сами же на пустом месте создаете себе проблемы, а потом появляются подобные вопросы.
Вот кому ты нафиг нужен.

asa · #15

Жена сказала - я тот самый