rkhunter: cara yang tepat untuk menangani peringatan lebih lanjut?

8

Saya mencari beberapa di Google dan memeriksa dua tautan pertama yang ditemukannya:

  1. http://www.skullbox.net/rkhunter.php
  2. http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/

Mereka tidak menyebutkan apa yang harus saya lakukan jika ada peringatan seperti itu:

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

T1: Apakah ada HowTos lebih luas yang menjelaskan bagaimana menangani berbagai jenis peringatan?

Dan pertanyaan kedua. Apakah tindakan saya memadai untuk menyelesaikan peringatan ini?

a) Untuk menemukan paket yang berisi file yang mencurigakan, mis. itu adalah debianutils untuk file / bin / yang

~ > dpkg -S /bin/which
debianutils: /bin/which

b) Untuk memeriksa checksum paket debianutils:

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

c) Untuk bersantai /bin/whichseperti yang saya lihat OK

/bin/which                                                                    OK

d) Untuk menempatkan file /bin/whichuntuk /etc/rkhunter.confsebagaiSCRIPTWHITELIST="/bin/which"

e) Untuk peringatan untuk file yang /usr/bin/lynxsaya perbarui dengan checksumrkhunter --propupd /usr/bin/lynx.cur

T2: Apakah saya menyelesaikan peringatan seperti itu dengan benar?

zuba
sumber
US CERT - Langkah-langkah untuk Memulihkan dari Sistem UNIX atau NT Compromise :In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.
ignis

Jawaban:

3

Menggunakan debsumsadalah ide yang sangat cerdas dengan satu kelemahan utama: Jika ada sesuatu untuk menimpa file yang dimiliki root seperti /bin/which, itu juga bisa menulis ulang /var/lib/dpkg/info/*.md5sumsdengan checksum yang diperbarui. Tidak ada rantai hak asuh kembali ke tanda tangan Debian / Ubuntu, sejauh yang saya bisa lihat. Yang sangat memalukan karena itu akan menjadi cara yang sangat sederhana, sangat cepat untuk memverifikasi keaslian file hidup.

Alih-alih untuk benar-benar memverifikasi file, Anda perlu mengunduh salinan baru dari deb itu, mengekstrak internal control.tar.gzdan kemudian melihat file md5sums untuk membandingkannya dengan yang asli md5sum /bin/which. Ini proses yang menyakitkan.

Apa yang paling mungkin terjadi di sini adalah Anda telah memiliki beberapa pembaruan sistem (bahkan peningkatan distribusi) dan Anda belum meminta rkhunter untuk memperbarui profilnya. rkhunter perlu tahu seperti apa file-file tersebut sehingga setiap pembaruan sistem akan mengecewakannya.

Setelah Anda tahu ada sesuatu yang aman, Anda dapat menjalankan sudo rkhunter --propupd /bin/whichuntuk memperbarui referensi file tersebut.

Ini adalah salah satu masalah dengan rkhunter. Perlu integrasi yang mendalam ke dalam proses deb sehingga ketika dipercaya, paket yang ditandatangani diinstal, rkhunter memperbarui rujukannya ke file.


Dan tidak, saya tidak akan memasukkan hal-hal seperti ini ke daftar putih karena ini adalah jenis rootkit yang akan dicari.

Oli
sumber
Terima kasih Oli, saya sangat menghargai penjelasan Anda, tetapi saya lebih suka solusi praktis atau solusi. Saya membuka hadiah lain. Jika saya tidak mendapatkan apa yang saya butuhkan, saya akan memberikan hadiah untuk jawaban Anda. Oke?)
zuba
1

zuba, ide daftar putih itu buruk; itu membatalkan penetapan file yang akan diperiksa yang seharusnya terlihat oleh Anda dan anti-malware Anda, idenya digunakan dan melihat pesan tidak berbahaya. Bisakah kita membuat tulisan itu sebagai gantinya akan lebih baik. suatu tempat di sepanjang garis \ garis yang dimulai dengan \ akan diabaikan; tapi itu membutuhkan beberapa pengalaman pengkodean dan pengetahuan intim tentang cara kerja rkhunter.

Bin / yang akan ditulis ulang saat dibutuhkan untuk mengakomodasi perubahan pemrograman; Secara umum satu file dapat diganti atau file dapat dibuat sementara dan diubah atau menghilang setelah reboot, dan itu mungkin menipu perangkat lunak rkhunter.

Ada garis di mana perangkat lunak / pembaruan atau antimalware menyerupai rootkit, dan saya percaya ini adalah salah satunya.

Metode yang Anda gunakan berbahaya hanya jika itu mengubah program atau file yang akan (bertindak untuk) entah bagaimana mempengaruhi operasi komputer. Terkadang kita lebih buruk daripada mesin kita dalam hal itu. Membuktikan ini untuk komputer Anda benar-benar tidak adil untuk ditanyakan, seperti yang saya bisa jika itu milik saya. Saya akan tahu, mendokumentasikan peringatan dan checksum dan akan mencatat setiap kali ada perubahan.

Lentera Diogenes
sumber
1
Ya, saya setuju bahwa daftar putih / bin / yang merupakan ide buruk
zuba