rkhunter memberi saya peringatan untuk "/ usr / bin / lwp-request" - apa yang harus saya lakukan? [Debian 9]

26

Jadi saya baru saja menginstal dan menjalankan rkhunter yang menunjukkan saya OKs hijau / Tidak ditemukan untuk semuanya kecuali untuk: / usr / bin / lwp-request , seperti:

/usr/bin/lwp-request                                     [ Warning ]

Dalam log itu tertulis:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Saya sudah berlari rkhunter --propupddan sudo apt-get update && sudo apt-get upgradeyang tidak membantu. Saya menginstal Debian 9.0 hanya beberapa hari yang lalu dan saya adalah pendatang baru di Linux.

Ada saran tentang apa yang harus dilakukan?

Sunting : Selanjutnya chkrootkit memberi saya ini:

File dan direktori mencurigakan berikut ditemukan: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Saya kira itu pertanyaan terpisah? Atau apakah ini tidak ada masalah sama sekali? Saya tidak tahu cara memeriksa apakah file / direktori ini ok dan diperlukan.

Sunting : Catatan Saya pernah mendapat peringatan untuk "Memeriksa perubahan file passwd" dan "Memeriksa perubahan file grup" walaupun saya tidak mengubah afaik tersebut. Scan sebelumnya dan kemudian tidak menunjukkan peringatan - ini hanya menunjukkan sekali. Ada ide?

debian security rkhunter mYnDstrEAm
sumber
1
lwp-requestseharusnya menjadi skrip Perl, jadi itu peringatan aneh.
derobert
@derobert Apakah Anda mendapatkan kesalahan yang sama? Juga peringatan adalah imo tentang hal itu telah diganti (ke skrip perl lain saya kira) - bukan tentang itu menjadi skrip perl. Saya menyalin isinya di sini: pastebin.com/bSLivGvz
mYnDstrEAm
1
Saya mendapatkan peringatan yang sama di kotak pengujian Debian saya. Pastebin Anda juga cocok dengan salinan permintaan lwp saya (meskipun dengan perubahan akhir baris, yang saya duga berasal dari pastebin). Jadi saya curiga alarm palsu.
derobert

Jawaban:

25

rkhunter perlu tahu manajer paket apa yang Anda gunakan.

Buat atau edit /etc/rkhunter.conf.localdan tambahkan baris berikut:

PKGMGR=DPKG

Jika Anda tidak menggunakan Debian atau Ubuntu, maka ubah DPKGuntuk manajer paket Anda yang sebenarnya.

Dengan cara ini, rkhunterakan tahu untuk mengharapkan yang dapat dieksekusi menjadi skrip, dan tidak menandai false positive.

Ini akan memastikan bahwa jika file dirusak, maka hasil positif baru akan ditampilkan.

MacroMan
sumber
Besar; tapi mengapa saya tidak bisa mengaturnya ke "APT-GET"? ( pertanyaan yang relevan ) Dan apa yang digunakan secara default untuk memeriksa hash jika itu bukan DPKG untuk Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@ mYnDstrEAm rkhunter tidak mengenali apt sebagai manajer paket. dpkg juga merupakan manajer paket yang valid pada semua sistem yang memiliki apt (kecuali dihapus). Saya pikir nilai default adalah RPM
MacroMan
@ MacroMan Nilai default yang dinyatakan dalam halaman manual adalahNONE
Adam Spires
Komentar dalam status rkhunter.conf: "# NONE adalah default untuk Debian juga, karena menjalankan --propupd membutuhkan waktu sekitar 4 kali lebih lama ketika diatur ke DPKG". Lihat: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Tampaknya tidak perlu mengatur opsi PKGMGR
Nadir Latif
1

Hal yang sama jika Anda memiliki akses root diaktifkan di SSH. Anda kemudian harus menambahkan

ALLOW_SSH_ROOT_USER=YES

ke file /etc/rkhunter.conf.local Anda

Antonio J. de Oliveira
sumber
0

Seperti disebutkan di: https://metacpan.org/pod/lwp-request , lwp-request adalah skrip yang memungkinkan membuat permintaan http ke server web. Itu tidak berbahaya dan kesalahannya bisa diabaikan.

Untuk menekan kesalahan, Anda harus mengizinkan perintah / usr / bin / lwp-request untuk digunakan sebagai skrip. Ini dapat dilakukan dengan menambahkan baris:

SCRIPTWHITELIST=/usr/bin/lwp-request

Ke /etc/rkhunter.conf atau file /etc/rkhunter.conf.local . Lihat opsi SCRIPTWHITELIST dalam file konfigurasi rkhunter.conf

Solusi ini disebutkan di forum Linux Mint

Nadir Latif
sumber
2
Dan bagaimana jika seseorang berhasil mengganti permintaan-lwp dengan skrip berbahaya? Harap ekstra hati-hati menggunakan saran ini. Itu membuat Anda rentan!
MacroMan