rkhunter: วิธีที่ถูกต้องในการจัดการกับคำเตือนเพิ่มเติมหรือไม่

ฉัน googled และตรวจสอบสองลิงค์แรกพบ:

1. http://www.skullbox.net/rkhunter.php
2. http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/

พวกเขาไม่พูดถึงสิ่งที่ฉันต้องทำในกรณีที่มีคำเตือนดังกล่าว:

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

คำถามที่ 1: มี HowTos ที่ขยายเพิ่มเติมมากขึ้นซึ่งอธิบายวิธีจัดการกับคำเตือนที่แตกต่างกันอย่างไร

และคำถามที่สอง การกระทำของฉันเพียงพอที่จะแก้ไขคำเตือนเหล่านี้หรือไม่

a) เพื่อค้นหาแพ็คเกจที่มีไฟล์ที่น่าสงสัยเช่นเป็นไฟล์ debianutils สำหรับไฟล์ / bin / ซึ่ง

~ > dpkg -S /bin/which
debianutils: /bin/which

b) วิธีตรวจสอบแพ็คเกจ debianutils:

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

c) เพื่อผ่อนคลาย/bin/whichตามที่เห็นตกลง

/bin/which                                                                    OK

d) เพื่อนำไฟล์/bin/whichไป/etc/rkhunter.confเป็นSCRIPTWHITELIST="/bin/which"

e) สำหรับคำเตือนสำหรับไฟล์ที่/usr/bin/lynxฉันอัปเดตการตรวจสอบด้วยrkhunter --propupd /usr/bin/lynx.cur

Q2: ฉันจะแก้ไขคำเตือนอย่างถูกต้องหรือไม่?

การใช้debsumsเป็นแนวคิดที่ฉลาดมากที่มีข้อบกพร่องที่สำคัญอย่างหนึ่ง: หากมีบางสิ่งที่จะเขียนทับไฟล์ที่เป็นเจ้าของรูทเช่น/bin/whichมันก็สามารถเขียนทับ/var/lib/dpkg/info/*.md5sumsด้วยเช็คซัมที่อัปเดตได้ ไม่มีห่วงโซ่การดูแลกลับไปเป็นลายเซ็น Debian / Ubuntu เท่าที่ฉันเห็น ซึ่งเป็นความอัปยศจริงเพราะนั่นจะเป็นวิธีที่ง่ายและรวดเร็วจริงๆในการตรวจสอบความถูกต้องของไฟล์สด

แต่การตรวจสอบไฟล์อย่างแท้จริงคุณจะต้องดาวน์โหลดสำเนาสดตราสารหนี้ทุกประเภทที่แยกภายในcontrol.tar.gzแล้วดูที่ไฟล์ md5sums md5sum /bin/whichในการเปรียบเทียบกับของจริง มันเป็นกระบวนการที่เจ็บปวด

สิ่งที่น่าจะเกิดขึ้นมากที่สุดคือคุณมีการอัปเดตระบบ (การอัปเกรดการแจกจ่าย) และคุณไม่ได้ขอให้ rkhunter อัปเดตโปรไฟล์ rkhunter จำเป็นต้องรู้ว่าไฟล์ควรเป็นอย่างไรดังนั้นการปรับปรุงระบบใด ๆ จะทำให้เสีย

เมื่อคุณรู้ว่ามีอะไรที่ปลอดภัยแล้วคุณสามารถเรียกใช้sudo rkhunter --propupd /bin/whichเพื่ออัปเดตการอ้างอิงของไฟล์

นี่เป็นหนึ่งในปัญหาของ rkhunter มันต้องการการรวมเข้ากับกระบวนการ deb อย่างลึกซึ้งดังนั้นเมื่อติดตั้งแพ็คเกจที่ลงนามที่เชื่อถือได้ rkhunter จะอัพเดตการอ้างอิงไปยังไฟล์

และไม่ฉันจะไม่ทำรายการที่ปลอดภัยเช่นนี้เพราะนี่เป็นสิ่งที่รูทคิทจะทำตาม

zuba ความคิดที่อนุญาตเป็นความคิดที่ผิด; เป็นการยกเลิกการกำหนดไฟล์ที่จะตรวจสอบซึ่งคุณควรมองเห็นและต่อต้านมัลแวร์ของคุณความคิดนั้นถูกนำมาใช้และการดูข้อความนั้นไม่เป็นอันตราย เราสามารถสร้าง writethrough แทนจะดีกว่าไหม แถวใดบรรทัดของ \ บรรทัดที่ขึ้นต้นด้วย \ จะถูกละเว้น แต่นั่นต้องใช้ประสบการณ์การเขียนโค้ดและความรู้ที่ลึกซึ้งของการทำงานของ rkhunter

ถัง / ซึ่งจะถูกเขียนใหม่เมื่อจำเป็นเพื่อรองรับการเปลี่ยนแปลงการเขียนโปรแกรม โดยทั่วไปไฟล์หนึ่งไฟล์อาจถูกแทนที่หรือไฟล์อาจถูกสร้างขึ้นชั่วคราวและเปลี่ยนแปลงหรือหายไปหลังจากรีบูตและนั่นอาจเป็นการหลอกลวงซอฟต์แวร์ rkhunter

มีบรรทัดที่ซอฟต์แวร์ / อัปเดตหรือมัลแวร์คล้ายกับรูทคิทและฉันเชื่อว่านี่เป็นหนึ่งในนั้น

วิธีการที่คุณใช้นั้นเป็นอันตรายต่อเมื่อมีการเปลี่ยนแปลงโปรแกรมหรือไฟล์ที่จะส่งผลต่อการทำงานของคอมพิวเตอร์ บางครั้งเราก็แย่กว่าที่เครื่องของเราในแง่ การพิสูจน์สิ่งนี้สำหรับคอมพิวเตอร์ของคุณนั้นไม่ยุติธรรมเลยที่จะถามอย่างที่ฉันเป็นถ้าเป็นของฉัน ฉันจะรู้เอกสารคำเตือนและการตรวจสอบและจะทราบเมื่อใดก็ตามที่มีการเปลี่ยนแปลง