Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Rkhunter alle Meldungen clear

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

07.06.2013 um 10:35 Uhr, 2535 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

habe einen rkhunter im Einsatz

nach "rkhunter -c" habe ich folgende Einträge im log:

01.
tail -f /var/log/rkhunter.log |grep Warning 
02.
tail: /var/log/rkhunter.log: file truncated 
03.
[10:30:13]   /usr/sbin/adduser                               [ Warning ] 
04.
[10:30:13] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable 
05.
[10:30:15]   /usr/bin/ldd                                    [ Warning ] 
06.
[10:30:15] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable 
07.
[10:30:18]   /bin/which                                      [ Warning ] 
08.
[10:30:18] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable 
09.
[10:30:34]   Checking /dev for suspicious file types         [ Warning ] 
10.
[10:30:34] Warning: Suspicious file types found in /dev: 
11.
[10:30:35]   Checking for hidden files and directories       [ Warning ] 
12.
[10:30:35] Warning: Hidden directory found: '/dev/.udev' 
13.
[10:30:35] Warning: Hidden directory found: '/dev/.initramfs' 
14.
[10:30:35]   Checking version of GnuPG                       [ Warning ] 
15.
[10:30:35] Warning: Application 'gpg', version '1.4.10', is out of date, and possibly a security risk. 
16.
[10:30:35]   Checking version of OpenSSL                     [ Warning ] 
17.
[10:30:35] Warning: Application 'openssl', version '0.9.8o', is out of date, and possibly a security risk. 
18.
[10:30:35]   Checking version of OpenSSH                     [ Warning ] 
19.
[10:30:35] Warning: Application 'sshd', version '5.5p1', is out of date, and possibly a security risk.
Ich möchte alle Meldungen auf clear setzen...

Wenn ich nun z.b. adduser als "vertrauenswürdige" änderung für rkhunter hinzufügen möchte muss ich dann folgendes machen?:

01.
rkhunter --propupd /usr/bin/adduser
Oder:

01.
rkhunter --propupd adduser

Habe beides ausprobiert, und weiterhin taucht adduser im Warning auf.


Hat vielleicht jemand mit mehr Erfahrung den einen oder anderen Tip für mich ;)?

Danke im Vorraus!
Itproject
Mitglied: 64748
07.06.2013 um 19:16 Uhr
Hallo,

zuerst führt man rkhunter so aus
rkhunter --propupd
damit legt es eine Datenbank an /var/lib/rkhunter/db/rkhunter.dat dort werden die Dateieigenschaften der ausführbaren Dateien gespeichert.

Wenn man danach rkhunter mit der Option --checkall ausführt, dann sollten die Warnungen z.B. bei adduser nicht mehr erscheinen.
Dein Befehl
rkhunter --propupd /usr/bin/adduser
wird nach dem Programmupdate gemacht. Damit generiert rkhunter seine Informationen über das adduser Programm neu. Das setzt aber voraus, dass diese Datenbank mit dem o.g. Befehl angelegt wurde.

Außerdem ist der Pfad /usr/sbin/adduser und nicht /usr/bin/adduser (zumindest hier bei mir, teste das mit "which adduser"). Ach ja, Dir ist klar, dass Du rkhunter als root oder mit sudo aufrufen musst?

Markus
Bitte warten ..
Mitglied: 16568
07.06.2013 um 20:38 Uhr
Und ein Update sollte auch mal Wunder bringen...

Mach das, dann reden wir weiter.
(olle Spamschleuder...)


Lonesome Walker
Bitte warten ..
Mitglied: itproject
10.06.2013 um 10:45 Uhr
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

01.
root@webserver:/home/user# rkhunter --propupd 
02.
[ Rootkit Hunter version 1.4.0 ] 
03.
File updated: searched for 169 files, found 136 
04.
root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser 
05.
Filename is not in the "rkhunter.dat" file: /usr/bin/adduser 
06.
root@webserver:/home/user#
Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:

01.
File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::
Also adduser scheint in der Datei zu sein, beim check mit rkhunter bekomme ich allerdings immernoch Warnings.

Danke für eure Hilfe, brauche sie aber noch ein bisschen ;)
Bitte warten ..
Mitglied: itproject
10.06.2013 um 11:05 Uhr
Zitat von itproject:
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

01.
> root@webserver:/home/user# rkhunter --propupd 
02.
 
03.
> root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser 
04.
> Filename is not in the "rkhunter.dat" file: /usr/bin/adduser 
05.
 
06.
> Schaue ich in die "rkhunter.dat" finde ich folgende Zeile: 
07.
> <code> 
08.
> File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163:: 
09.
> 


OK, das war ein Schreibfehler, hab mit /usr/sbin/adduser die Datei einlesen können, steht allerdings immernoch auf Warning, im Log Taucht auf, dass die Datei durch ein Script ersetzt wurde, dieses ist allerdings in der rkhunter.conf als vertrauenswürdig hinzugefügt.
Bitte warten ..
Mitglied: itproject
10.06.2013 um 11:13 Uhr
Also liebe Leute Problem ist gelöst.

Habe gerade herausgefunden, dass es nach einem rkhunter --update eine NEUE! rkhunter.conf erstellt wurde, wo Whitelisteinträge komplett aussen vor waren!

Habe nun einen softlink von /etc/rkhunter.conf auf /usr/local/etc/rkhunter.conf gemacht, und BUMM es klappt auch ... man man man wer denkt denn schon an sowas

01.
lrwxrwxrwx 1 root staff 18 Jun 10 11:09 /usr/local/etc/rkhunter.conf -> /etc/rkhunter.conf
DANKE FÜR EUREN SUPPORT!
Bitte warten ..
Mitglied: 16568
10.06.2013 um 13:12 Uhr
Dann Haken setzen nicht vergessen


Lonesome Walker
Bitte warten ..
Ähnliche Inhalte
Debian

Debian 8, SSH Logging, Popuser-Meldung und rkhunter Problem

Frage von d4shoerncheNDebian5 Kommentare

Guten Morgen, ich habe einen kleinen Linux Server mit Debian 8. Ich habe für SSH den Port geändert und ...

Windows Update

Meldung über verfügbare Updates deaktivieren

Frage von rssd1983Windows Update2 Kommentare

Hallo zusammen, wir haben das Problem, dass Windows 10 sich bei verfügbaren Updates immer über den gesamten Bildschirm präsentiert ...

Windows Server

Ewige Meldung "Druckertreiber muss aktualisiert werden"

Frage von thaefligerWindows Server

Alle Server Win2k8R2 Citrix Xenapp 6.5, Published Desktop Hallo zusammen ich habe hier einen Brother QL-720NW Labeldrucker, den ich ...

Microsoft Office

Hyperlink Meldung beim öffnen

gelöst Frage von LadybirdMicrosoft Office14 Kommentare

Guten Morgen Ich habe eine Datei verlinkt. Wenn ich jedoch auf den Link klicken will erscheint mir folgende Meldung: ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 StundeGoogle Android

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 StundeSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 4 StundenMicrosoft2 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 22 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server35 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

CPU, RAM, Mainboards
32 gb RAM zu wenig?
Frage von pcguyCPU, RAM, Mainboards13 Kommentare

Hallo zusammen, mein PC verfügt über 32GB Ram. Nun kriege ich bei grossen Dateien im Illustrator die Fehlermeldung das ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing9 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...