Dúvidas sobre alguns "Warnigs" do rkhunter [RESOLVIDO]

1. Dúvidas sobre alguns "Warnigs" do rkhunter [RESOLVIDO]


(usa Debian)

Enviado em 12/09/2015 - 19:18h

Me chamou muita atenção o adduser,egrep e o fgrep
Antes de começar o scan eu fiz os dois comando abaixo:
sudo rkhunter --update
sudo rkhunter --propupd

Apenas as mensagens com Warning

cat /var/log/rkhunter.log | grep Warning
[18:50:24] /usr/sbin/adduser [ Warning ]
[18:50:25] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: Perl script, ASCII text executable
[18:50:45] /usr/bin/ldd [ Warning ]
[18:50:45] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
[18:51:33] /bin/egrep [ Warning ]
[18:51:33] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: POSIX shell script, ASCII text executable
[18:51:33] /bin/fgrep [ Warning ]
[18:51:34] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: POSIX shell script, ASCII text executable
[18:51:49] /bin/which [ Warning ]
[18:51:49] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script, ASCII text executable
[19:01:12] Checking for enabled inetd services [ Warning ]
[19:01:12] Warning: Found enabled inetd service: tftp
[19:02:25] Checking if SSH root access is allowed [ Warning ]
[19:02:25] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
[19:02:34] Checking /dev for suspicious file types [ Warning ]
[19:02:34] Warning: Suspicious file types found in /dev:
[19:02:35] Checking for hidden files and directories [ Warning ]
[19:02:35] Warning: Hidden directory found: /etc/.java

Alguém tem alguma dica/solução?
echo "Se um homem não descobriu nada pelo qual morreria, não está pronto para viver."


2. Re: Dúvidas sobre alguns "Warnigs" do rkhunter [RESOLVIDO]


(usa Slackware)

Enviado em 12/09/2015 - 20:30h

Isto se chama "falso positivo", mais em:


Outra coisa, não fique caçando chifre em cabeça de cavalo com a versão do rkhunter provida pelo Debian (geralmente mais velha que a oficial, quando não, com as definições mais velhas), vá logo na fonte, baixe e instale manualmente:


Embora pro seu caso, provavelmente pouca coisa mudará. :)

3. Re: Dúvidas sobre alguns "Warnigs" do rkhunter [RESOLVIDO]


(usa Debian)

Enviado em 12/09/2015 - 21:34h

edps escreveu:

Isto se chama "falso positivo", mais em:


Outra coisa, não fique caçando chifre em cabeça de cavalo com a versão do rkhunter provida pelo Debian (geralmente mais velha que a oficial, quando não, com as definições mais velhas), vá logo na fonte, baixe e instale manualmente:


Embora pro seu caso, provavelmente pouca coisa mudará. :)

Obrigado pelas dicas!
Eu notei que possuo a versão 1.4.2 a mesma do site do desenvolvedor.
Eu vou dar uma passada com o Lynis e observar a saída do mesmo. ;)

echo "Se um homem não descobriu nada pelo qual morreria, não está pronto para viver."

4. Re: Dúvidas sobre alguns

Perfil removido

(usa Nenhuma)

Enviado em 13/09/2015 - 00:12h

Em teoria, SE o sistema estivesse comprometido, poderia também o verificador de rootkit estar comprometido.
Uma alternativa seria boot com um sistema em live-cd ou pen drive.
Daí inicia-se e faz-se a verificação com este sistema externo e sem comprometimento.

Sobre a pesquisa do termo rootkit em meu Debian com o apt-cache search retorna as seguintes pesquisas:

* mac-robber - collects data about allocated files in mounted filesystems
* rkhunter - rootkit, backdoor, sniffer and exploit scanner
* chkrootkit - detector de rootkit
* unhide - ferramenta forense para localizar portas e processos escondidos


Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

5. Re: Dúvidas sobre alguns "Warnigs" do rkhunter [RESOLVIDO]


(usa Debian)

Enviado em 14/09/2015 - 15:02h

Agradeço a todo pelos esclarecimentos. ;)
echo "Se um homem não descobriu nada pelo qual morreria, não está pronto para viver."



Site hospedado pelo provedor RedeHost.
Linux banner





Top 10 do mês
