Dúvidas sobre alguns "Warnigs" do rkhunter [RESOLVIDO]

Ghroll
(usa Debian)

Enviado em 12/09/2015 - 19:18h

Me chamou muita atenção o adduser,egrep e o fgrep
Antes de começar o scan eu fiz os dois comando abaixo:

sudo rkhunter --update

sudo rkhunter --propupd 

Apenas as mensagens com Warning

cat /var/log/rkhunter.log | grep Warning

[18:50:24]   /usr/sbin/adduser                               [ Warning ]

[18:50:25] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: Perl script, ASCII text executable

[18:50:45]   /usr/bin/ldd                                    [ Warning ]

[18:50:45] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable

[18:51:33]   /bin/egrep                                      [ Warning ]

[18:51:33] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: POSIX shell script, ASCII text executable

[18:51:33]   /bin/fgrep                                      [ Warning ]

[18:51:34] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: POSIX shell script, ASCII text executable

[18:51:49]   /bin/which                                      [ Warning ]

[18:51:49] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script, ASCII text executable

[19:01:12]   Checking for enabled inetd services             [ Warning ]

[19:01:12] Warning: Found enabled inetd service: tftp

[19:02:25]   Checking if SSH root access is allowed          [ Warning ]

[19:02:25] Warning: The SSH configuration option 'PermitRootLogin' has not been set.

[19:02:34]   Checking /dev for suspicious file types         [ Warning ]

[19:02:34] Warning: Suspicious file types found in /dev:

[19:02:35]   Checking for hidden files and directories       [ Warning ]

[19:02:35] Warning: Hidden directory found: /etc/.java

 

Alguém tem alguma dica/solução?
------------------------------------------------------------------------------------------------------------------
echo "Se um homem não descobriu nada pelo qual morreria, não está pronto para viver."

edps
(usa Slackware)

Enviado em 12/09/2015 - 20:30h

Isto se chama "falso positivo", mais em:

https://pt.wikipedia.org/wiki/Falso_positivo

Outra coisa, não fique caçando chifre em cabeça de cavalo com a versão do rkhunter provida pelo Debian (geralmente mais velha que a oficial, quando não, com as definições mais velhas), vá logo na fonte, baixe e instale manualmente:

http://rkhunter.sourceforge.net/
http://www.tecmint.com/install-linux-rkhunter-rootkit-hunter-in-rhel-centos-and-fedora/

Embora pro seu caso, provavelmente pouca coisa mudará. :)

Ghroll
(usa Debian)

Enviado em 12/09/2015 - 21:34h

Obrigado pelas dicas!
Eu notei que possuo a versão 1.4.2 a mesma do site do desenvolvedor.
Eu vou dar uma passada com o Lynis e observar a saída do mesmo. ;)


-------------------------------------------------------------------------------------------------------------------
echo "Se um homem não descobriu nada pelo qual morreria, não está pronto para viver."

removido
(usa Nenhuma)

Enviado em 13/09/2015 - 00:12h

Em teoria, SE o sistema estivesse comprometido, poderia também o verificador de rootkit estar comprometido.
Uma alternativa seria boot com um sistema em live-cd ou pen drive.
Daí inicia-se e faz-se a verificação com este sistema externo e sem comprometimento.

Sobre a pesquisa do termo rootkit em meu Debian com o apt-cache search retorna as seguintes pesquisas:

* mac-robber - collects data about allocated files in mounted filesystems
* rkhunter - rootkit, backdoor, sniffer and exploit scanner
* chkrootkit - detector de rootkit
* unhide - ferramenta forense para localizar portas e processos escondidos

--
http://s.glbimg.com/po/tt/f/original/2011/10/20/a97264_w8.jpg

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

Ghroll
(usa Debian)

Enviado em 14/09/2015 - 15:02h

Agradeço a todo pelos esclarecimentos. ;)
-------------------------------------------------------------------------------------------------------------------
echo "Se um homem não descobriu nada pelo qual morreria, não está pronto para viver."