rkhunter: วิธีที่ถูกต้องในการจัดการกับคำเตือนเพิ่มเติมหรือไม่


8

ฉัน googled และตรวจสอบสองลิงค์แรกพบ:

  1. http://www.skullbox.net/rkhunter.php
  2. http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/

พวกเขาไม่พูดถึงสิ่งที่ฉันต้องทำในกรณีที่มีคำเตือนดังกล่าว:

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

คำถามที่ 1: มี HowTos ที่ขยายเพิ่มเติมมากขึ้นซึ่งอธิบายวิธีจัดการกับคำเตือนที่แตกต่างกันอย่างไร

และคำถามที่สอง การกระทำของฉันเพียงพอที่จะแก้ไขคำเตือนเหล่านี้หรือไม่

a) เพื่อค้นหาแพ็คเกจที่มีไฟล์ที่น่าสงสัยเช่นเป็นไฟล์ debianutils สำหรับไฟล์ / bin / ซึ่ง

~ > dpkg -S /bin/which
debianutils: /bin/which

b) วิธีตรวจสอบแพ็คเกจ debianutils:

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

c) เพื่อผ่อนคลาย/bin/whichตามที่เห็นตกลง

/bin/which                                                                    OK

d) เพื่อนำไฟล์/bin/whichไป/etc/rkhunter.confเป็นSCRIPTWHITELIST="/bin/which"

e) สำหรับคำเตือนสำหรับไฟล์ที่/usr/bin/lynxฉันอัปเดตการตรวจสอบด้วยrkhunter --propupd /usr/bin/lynx.cur

Q2: ฉันจะแก้ไขคำเตือนอย่างถูกต้องหรือไม่?


US CERT - ขั้นตอนในการกู้คืนจากการประนีประนอมระบบ UNIX หรือ NT :In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.
ติดไฟ

คำตอบ:


3

การใช้debsumsเป็นแนวคิดที่ฉลาดมากที่มีข้อบกพร่องที่สำคัญอย่างหนึ่ง: หากมีบางสิ่งที่จะเขียนทับไฟล์ที่เป็นเจ้าของรูทเช่น/bin/whichมันก็สามารถเขียนทับ/var/lib/dpkg/info/*.md5sumsด้วยเช็คซัมที่อัปเดตได้ ไม่มีห่วงโซ่การดูแลกลับไปเป็นลายเซ็น Debian / Ubuntu เท่าที่ฉันเห็น ซึ่งเป็นความอัปยศจริงเพราะนั่นจะเป็นวิธีที่ง่ายและรวดเร็วจริงๆในการตรวจสอบความถูกต้องของไฟล์สด

แต่การตรวจสอบไฟล์อย่างแท้จริงคุณจะต้องดาวน์โหลดสำเนาสดตราสารหนี้ทุกประเภทที่แยกภายในcontrol.tar.gzแล้วดูที่ไฟล์ md5sums md5sum /bin/whichในการเปรียบเทียบกับของจริง มันเป็นกระบวนการที่เจ็บปวด

สิ่งที่น่าจะเกิดขึ้นมากที่สุดคือคุณมีการอัปเดตระบบ (การอัปเกรดการแจกจ่าย) และคุณไม่ได้ขอให้ rkhunter อัปเดตโปรไฟล์ rkhunter จำเป็นต้องรู้ว่าไฟล์ควรเป็นอย่างไรดังนั้นการปรับปรุงระบบใด ๆ จะทำให้เสีย

เมื่อคุณรู้ว่ามีอะไรที่ปลอดภัยแล้วคุณสามารถเรียกใช้sudo rkhunter --propupd /bin/whichเพื่ออัปเดตการอ้างอิงของไฟล์

นี่เป็นหนึ่งในปัญหาของ rkhunter มันต้องการการรวมเข้ากับกระบวนการ deb อย่างลึกซึ้งดังนั้นเมื่อติดตั้งแพ็คเกจที่ลงนามที่เชื่อถือได้ rkhunter จะอัพเดตการอ้างอิงไปยังไฟล์


และไม่ฉันจะไม่ทำรายการที่ปลอดภัยเช่นนี้เพราะนี่เป็นสิ่งที่รูทคิทจะทำตาม


ขอบคุณ Oli ฉันขอขอบคุณคำอธิบายของคุณ แต่ฉันอยากได้วิธีแก้ปัญหาเชิงปฏิบัติหรือวิธีแก้ปัญหา ฉันกำลังเปิดรับรางวัลอีกครั้ง ถ้าฉันไม่ได้สิ่งที่ฉันต้องการฉันจะมอบรางวัลให้กับคำตอบของคุณ ตกลง?)
zuba

1

zuba ความคิดที่อนุญาตเป็นความคิดที่ผิด; เป็นการยกเลิกการกำหนดไฟล์ที่จะตรวจสอบซึ่งคุณควรมองเห็นและต่อต้านมัลแวร์ของคุณความคิดนั้นถูกนำมาใช้และการดูข้อความนั้นไม่เป็นอันตราย เราสามารถสร้าง writethrough แทนจะดีกว่าไหม แถวใดบรรทัดของ \ บรรทัดที่ขึ้นต้นด้วย \ จะถูกละเว้น แต่นั่นต้องใช้ประสบการณ์การเขียนโค้ดและความรู้ที่ลึกซึ้งของการทำงานของ rkhunter

ถัง / ซึ่งจะถูกเขียนใหม่เมื่อจำเป็นเพื่อรองรับการเปลี่ยนแปลงการเขียนโปรแกรม โดยทั่วไปไฟล์หนึ่งไฟล์อาจถูกแทนที่หรือไฟล์อาจถูกสร้างขึ้นชั่วคราวและเปลี่ยนแปลงหรือหายไปหลังจากรีบูตและนั่นอาจเป็นการหลอกลวงซอฟต์แวร์ rkhunter

มีบรรทัดที่ซอฟต์แวร์ / อัปเดตหรือมัลแวร์คล้ายกับรูทคิทและฉันเชื่อว่านี่เป็นหนึ่งในนั้น

วิธีการที่คุณใช้นั้นเป็นอันตรายต่อเมื่อมีการเปลี่ยนแปลงโปรแกรมหรือไฟล์ที่จะส่งผลต่อการทำงานของคอมพิวเตอร์ บางครั้งเราก็แย่กว่าที่เครื่องของเราในแง่ การพิสูจน์สิ่งนี้สำหรับคอมพิวเตอร์ของคุณนั้นไม่ยุติธรรมเลยที่จะถามอย่างที่ฉันเป็นถ้าเป็นของฉัน ฉันจะรู้เอกสารคำเตือนและการตรวจสอบและจะทราบเมื่อใดก็ตามที่มีการเปลี่ยนแปลง


1
ใช่ฉันยอมรับรายการที่อนุญาต / bin / ซึ่งเป็นความคิดที่ไม่ดี
zuba
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.