Saya mencari beberapa di Google dan memeriksa dua tautan pertama yang ditemukannya:
- http://www.skullbox.net/rkhunter.php
- http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/
Mereka tidak menyebutkan apa yang harus saya lakukan jika ada peringatan seperti itu:
Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
File: /usr/bin/lynx
Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4
T1: Apakah ada HowTos lebih luas yang menjelaskan bagaimana menangani berbagai jenis peringatan?
Dan pertanyaan kedua. Apakah tindakan saya memadai untuk menyelesaikan peringatan ini?
a) Untuk menemukan paket yang berisi file yang mencurigakan, mis. itu adalah debianutils untuk file / bin / yang
~ > dpkg -S /bin/which
debianutils: /bin/which
b) Untuk memeriksa checksum paket debianutils:
~ > debsums debianutils
/bin/run-parts OK
/bin/tempfile OK
/bin/which OK
/sbin/installkernel OK
/usr/bin/savelog OK
/usr/sbin/add-shell OK
/usr/sbin/remove-shell OK
/usr/share/man/man1/which.1.gz OK
/usr/share/man/man1/tempfile.1.gz OK
/usr/share/man/man8/savelog.8.gz OK
/usr/share/man/man8/add-shell.8.gz OK
/usr/share/man/man8/remove-shell.8.gz OK
/usr/share/man/man8/run-parts.8.gz OK
/usr/share/man/man8/installkernel.8.gz OK
/usr/share/man/fr/man1/which.1.gz OK
/usr/share/man/fr/man1/tempfile.1.gz OK
/usr/share/man/fr/man8/remove-shell.8.gz OK
/usr/share/man/fr/man8/run-parts.8.gz OK
/usr/share/man/fr/man8/savelog.8.gz OK
/usr/share/man/fr/man8/add-shell.8.gz OK
/usr/share/man/fr/man8/installkernel.8.gz OK
/usr/share/doc/debianutils/copyright OK
/usr/share/doc/debianutils/changelog.gz OK
/usr/share/doc/debianutils/README.shells.gz OK
/usr/share/debianutils/shells OK
c) Untuk bersantai /bin/whichseperti yang saya lihat OK
/bin/which OK
d) Untuk menempatkan file /bin/whichuntuk /etc/rkhunter.confsebagaiSCRIPTWHITELIST="/bin/which"
e) Untuk peringatan untuk file yang /usr/bin/lynxsaya perbarui dengan checksumrkhunter --propupd /usr/bin/lynx.cur
T2: Apakah saya menyelesaikan peringatan seperti itu dengan benar?
In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.Jawaban:
Menggunakan
debsumsadalah ide yang sangat cerdas dengan satu kelemahan utama: Jika ada sesuatu untuk menimpa file yang dimiliki root seperti/bin/which, itu juga bisa menulis ulang/var/lib/dpkg/info/*.md5sumsdengan checksum yang diperbarui. Tidak ada rantai hak asuh kembali ke tanda tangan Debian / Ubuntu, sejauh yang saya bisa lihat. Yang sangat memalukan karena itu akan menjadi cara yang sangat sederhana, sangat cepat untuk memverifikasi keaslian file hidup.Alih-alih untuk benar-benar memverifikasi file, Anda perlu mengunduh salinan baru dari deb itu, mengekstrak internal
control.tar.gzdan kemudian melihat file md5sums untuk membandingkannya dengan yang aslimd5sum /bin/which. Ini proses yang menyakitkan.Apa yang paling mungkin terjadi di sini adalah Anda telah memiliki beberapa pembaruan sistem (bahkan peningkatan distribusi) dan Anda belum meminta rkhunter untuk memperbarui profilnya. rkhunter perlu tahu seperti apa file-file tersebut sehingga setiap pembaruan sistem akan mengecewakannya.
Setelah Anda tahu ada sesuatu yang aman, Anda dapat menjalankan
sudo rkhunter --propupd /bin/whichuntuk memperbarui referensi file tersebut.Ini adalah salah satu masalah dengan rkhunter. Perlu integrasi yang mendalam ke dalam proses deb sehingga ketika dipercaya, paket yang ditandatangani diinstal, rkhunter memperbarui rujukannya ke file.
Dan tidak, saya tidak akan memasukkan hal-hal seperti ini ke daftar putih karena ini adalah jenis rootkit yang akan dicari.
sumber
zuba, ide daftar putih itu buruk; itu membatalkan penetapan file yang akan diperiksa yang seharusnya terlihat oleh Anda dan anti-malware Anda, idenya digunakan dan melihat pesan tidak berbahaya. Bisakah kita membuat tulisan itu sebagai gantinya akan lebih baik. suatu tempat di sepanjang garis \ garis yang dimulai dengan \ akan diabaikan; tapi itu membutuhkan beberapa pengalaman pengkodean dan pengetahuan intim tentang cara kerja rkhunter.
Bin / yang akan ditulis ulang saat dibutuhkan untuk mengakomodasi perubahan pemrograman; Secara umum satu file dapat diganti atau file dapat dibuat sementara dan diubah atau menghilang setelah reboot, dan itu mungkin menipu perangkat lunak rkhunter.
Ada garis di mana perangkat lunak / pembaruan atau antimalware menyerupai rootkit, dan saya percaya ini adalah salah satunya.
Metode yang Anda gunakan berbahaya hanya jika itu mengubah program atau file yang akan (bertindak untuk) entah bagaimana mempengaruhi operasi komputer. Terkadang kita lebih buruk daripada mesin kita dalam hal itu. Membuktikan ini untuk komputer Anda benar-benar tidak adil untuk ditanyakan, seperti yang saya bisa jika itu milik saya. Saya akan tahu, mendokumentasikan peringatan dan checksum dan akan mencatat setiap kali ada perubahan.
sumber