rkhunter แจ้งเตือนฉันสำหรับ“ / usr / bin / lwp-request” - ฉันควรทำอย่างไร [Debian 9]

25

ดังนั้นฉันเพิ่งติดตั้งและรันrkhunterซึ่งแสดงให้ฉันเห็นสีเขียว OKs / ไม่พบทุกอย่างยกเว้น: / usr / bin / lwp-requestเช่น:

/usr/bin/lwp-request                                     [ Warning ]

ในบันทึกมันบอกว่า:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

ฉันวิ่งไปแล้วrkhunter --propupdและsudo apt-get update && sudo apt-get upgradeมันก็ไม่ได้ช่วยอะไร ฉันติดตั้ง Debian 9.0 เพียงไม่กี่วันที่ผ่านมาและเป็นผู้ใช้ใหม่กับ Linux

ข้อเสนอแนะใด ๆ เกี่ยวกับสิ่งที่ต้องทำ?

แก้ไข : นอกจากนี้chkrootkitให้สิ่งนี้กับฉัน:

พบไฟล์และไดเรกทอรีที่น่าสงสัยดังต่อไปนี้: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

ฉันเดาว่าเป็นคำถามแยกต่างหาก หรือไม่เป็นปัญหาเลย? ฉันไม่รู้วิธีตรวจสอบว่าไฟล์ / ไดเรกทอรีเหล่านี้ใช้ได้หรือไม่และจำเป็น

แก้ไข : หมายเหตุฉันเคยได้รับคำเตือนเกี่ยวกับ "การตรวจสอบการเปลี่ยนแปลงไฟล์ passwd" และ "การตรวจสอบการเปลี่ยนแปลงไฟล์กลุ่ม" แม้ว่าฉันจะไม่ได้เปลี่ยน afaik ใด ๆ ก็ตาม การสแกนก่อนหน้านี้และหลังจากนั้นไม่แสดงคำเตือน ความคิดใด ๆ

debian  security  rkhunter 
mYnDstrEAm
แหล่งที่มา
1
lwp-requestควรจะเป็นสคริปต์ Perl ดังนั้นจึงเป็นคำเตือนที่แปลก
Derobert
@derobert คุณได้รับข้อผิดพลาดเดียวกันแล้ว? นอกจากนี้คำเตือนก็คือ imo เกี่ยวกับมันได้รับการแทนที่ (ไปยังสคริปต์ Perl อื่นฉันเดา) - ไม่เกี่ยวกับมันเป็นสคริปต์ Perl ฉันคัดลอกเนื้อหามาที่นี่: pastebin.com/bSLivGvz
mYnDstrEAm
1
ฉันได้รับคำเตือนแบบเดียวกันในกล่องทดสอบ Debian ของฉัน Pastebin ของคุณตรงกับสำเนาของคำขอ lwp ของฉันด้วย (แม้ว่าจะมีการเปลี่ยนแปลงในตอนท้ายบรรทัดซึ่งฉันเข้าใจว่ามาจาก Pastebin) ดังนั้นฉันสงสัยว่ามีการเตือนที่ผิดพลาด
Derobert

คำตอบ:

25

rkhunter จำเป็นต้องรู้ว่าคุณกำลังใช้โปรแกรมจัดการแพคเกจใด

สร้างหรือแก้ไข/etc/rkhunter.conf.localและเพิ่มบรรทัดต่อไปนี้:

PKGMGR=DPKG

หากคุณไม่ได้อยู่ใน Debian หรือ Ubuntu ให้เปลี่ยนDPKGผู้จัดการแพคเกจจริงของคุณ

วิธีนี้rkhunterจะทราบได้ว่าคาดว่าไฟล์เรียกใช้งานเหล่านั้นจะเป็นสคริปต์และไม่ตั้งค่าสถานะเป็นค่าบวกเท็จ

จะช่วยให้มั่นใจได้ว่าหากไฟล์ถูกแก้ไขแล้วผลบวกใหม่จะปรากฏขึ้น

macRoman
แหล่งที่มา
ที่ดี; แต่ทำไมฉันถึงตั้งค่าเป็น "APT-GET" ไม่ได้? ( คำถามที่เกี่ยวข้อง ) และสิ่งที่ใช้เป็นค่าเริ่มต้นสำหรับการตรวจสอบแฮชที่ไม่ใช่ DPKG สำหรับเดเบียน ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter ไม่รู้จัก apt ในฐานะผู้จัดการแพ็คเกจ dpkg ยังเป็นตัวจัดการแพ็กเกจที่ถูกต้องในทุกระบบที่มี apt (ยกเว้นว่าถูกลบ) ฉันคิดว่าค่าเริ่มต้นคือ RPM
MacroMan
@MacroMan ค่าเริ่มต้นที่ระบุในหน้าคนคือNONE
Adam Spires
ความคิดเห็นในสถานะ rkhunter.conf: "# NONE เป็นค่าเริ่มต้นสำหรับ Debian เช่นกันเนื่องจากการรัน --propupd ใช้เวลานานกว่าประมาณ 4 เท่าเมื่อตั้งค่าเป็น DPKG" ดู: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf ดูเหมือนว่าไม่จำเป็นต้องตั้งค่าตัวเลือก PKGMGR
Nadir Latif
0

ตามที่กล่าวถึงใน: https://metacpan.org/pod/lwp-request lwp-request เป็นสคริปต์ที่อนุญาตให้ทำการร้องขอ http ไปยังเว็บเซิร์ฟเวอร์ มันไม่เป็นอันตรายและดังนั้นจึงสามารถละเว้นข้อผิดพลาดได้

ในการระงับข้อผิดพลาดคุณต้องอนุญาตให้ใช้คำสั่ง / usr / bin / lwp-Request เป็นสคริปต์ สามารถทำได้โดยเพิ่มบรรทัด:

SCRIPTWHITELIST=/usr/bin/lwp-request

ถึง/etc/rkhunter.confหรือไฟล์/etc/rkhunter.conf.local ดูตัวเลือกSCRIPTWHITELISTในไฟล์คอนฟิกูเรชัน rkhunter.conf

วิธีการแก้ปัญหานี้ถูกกล่าวถึงในฟอรั่ม Linux Mint

ขีดตกต่ำสุด Latif
แหล่งที่มา
1
และถ้ามีใครจัดการเพื่อแทนที่คำขอ lwp ด้วยสคริปต์ที่เป็นอันตราย โปรดใช้ความระมัดระวังเป็นพิเศษในการใช้คำแนะนำนี้ มันทำให้คุณเสี่ยง!
MacroMan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.