ฉัน googled และตรวจสอบสองลิงค์แรกพบ:
- http://www.skullbox.net/rkhunter.php
- http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/
พวกเขาไม่พูดถึงสิ่งที่ฉันต้องทำในกรณีที่มีคำเตือนดังกล่าว:
Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
File: /usr/bin/lynx
Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4
คำถามที่ 1: มี HowTos ที่ขยายเพิ่มเติมมากขึ้นซึ่งอธิบายวิธีจัดการกับคำเตือนที่แตกต่างกันอย่างไร
และคำถามที่สอง การกระทำของฉันเพียงพอที่จะแก้ไขคำเตือนเหล่านี้หรือไม่
a) เพื่อค้นหาแพ็คเกจที่มีไฟล์ที่น่าสงสัยเช่นเป็นไฟล์ debianutils สำหรับไฟล์ / bin / ซึ่ง
~ > dpkg -S /bin/which
debianutils: /bin/which
b) วิธีตรวจสอบแพ็คเกจ debianutils:
~ > debsums debianutils
/bin/run-parts OK
/bin/tempfile OK
/bin/which OK
/sbin/installkernel OK
/usr/bin/savelog OK
/usr/sbin/add-shell OK
/usr/sbin/remove-shell OK
/usr/share/man/man1/which.1.gz OK
/usr/share/man/man1/tempfile.1.gz OK
/usr/share/man/man8/savelog.8.gz OK
/usr/share/man/man8/add-shell.8.gz OK
/usr/share/man/man8/remove-shell.8.gz OK
/usr/share/man/man8/run-parts.8.gz OK
/usr/share/man/man8/installkernel.8.gz OK
/usr/share/man/fr/man1/which.1.gz OK
/usr/share/man/fr/man1/tempfile.1.gz OK
/usr/share/man/fr/man8/remove-shell.8.gz OK
/usr/share/man/fr/man8/run-parts.8.gz OK
/usr/share/man/fr/man8/savelog.8.gz OK
/usr/share/man/fr/man8/add-shell.8.gz OK
/usr/share/man/fr/man8/installkernel.8.gz OK
/usr/share/doc/debianutils/copyright OK
/usr/share/doc/debianutils/changelog.gz OK
/usr/share/doc/debianutils/README.shells.gz OK
/usr/share/debianutils/shells OK
c) เพื่อผ่อนคลาย/bin/which
ตามที่เห็นตกลง
/bin/which OK
d) เพื่อนำไฟล์/bin/which
ไป/etc/rkhunter.conf
เป็นSCRIPTWHITELIST="/bin/which"
e) สำหรับคำเตือนสำหรับไฟล์ที่/usr/bin/lynx
ฉันอัปเดตการตรวจสอบด้วยrkhunter --propupd /usr/bin/lynx.cur
Q2: ฉันจะแก้ไขคำเตือนอย่างถูกต้องหรือไม่?
In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.