Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Rkhunter alle Meldungen clear

Frage Linux Debian

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

07.06.2013 um 10:35 Uhr, 2372 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

habe einen rkhunter im Einsatz

nach "rkhunter -c" habe ich folgende Einträge im log:

01.
tail -f /var/log/rkhunter.log |grep Warning 
02.
tail: /var/log/rkhunter.log: file truncated 
03.
[10:30:13]   /usr/sbin/adduser                               [ Warning ] 
04.
[10:30:13] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable 
05.
[10:30:15]   /usr/bin/ldd                                    [ Warning ] 
06.
[10:30:15] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable 
07.
[10:30:18]   /bin/which                                      [ Warning ] 
08.
[10:30:18] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable 
09.
[10:30:34]   Checking /dev for suspicious file types         [ Warning ] 
10.
[10:30:34] Warning: Suspicious file types found in /dev: 
11.
[10:30:35]   Checking for hidden files and directories       [ Warning ] 
12.
[10:30:35] Warning: Hidden directory found: '/dev/.udev' 
13.
[10:30:35] Warning: Hidden directory found: '/dev/.initramfs' 
14.
[10:30:35]   Checking version of GnuPG                       [ Warning ] 
15.
[10:30:35] Warning: Application 'gpg', version '1.4.10', is out of date, and possibly a security risk. 
16.
[10:30:35]   Checking version of OpenSSL                     [ Warning ] 
17.
[10:30:35] Warning: Application 'openssl', version '0.9.8o', is out of date, and possibly a security risk. 
18.
[10:30:35]   Checking version of OpenSSH                     [ Warning ] 
19.
[10:30:35] Warning: Application 'sshd', version '5.5p1', is out of date, and possibly a security risk.
Ich möchte alle Meldungen auf clear setzen...

Wenn ich nun z.b. adduser als "vertrauenswürdige" änderung für rkhunter hinzufügen möchte muss ich dann folgendes machen?:

01.
rkhunter --propupd /usr/bin/adduser
Oder:

01.
rkhunter --propupd adduser

Habe beides ausprobiert, und weiterhin taucht adduser im Warning auf.


Hat vielleicht jemand mit mehr Erfahrung den einen oder anderen Tip für mich ;)?

Danke im Vorraus!
Itproject
Mitglied: hmarkus
07.06.2013 um 19:16 Uhr
Hallo,

zuerst führt man rkhunter so aus
rkhunter --propupd
damit legt es eine Datenbank an /var/lib/rkhunter/db/rkhunter.dat dort werden die Dateieigenschaften der ausführbaren Dateien gespeichert.

Wenn man danach rkhunter mit der Option --checkall ausführt, dann sollten die Warnungen z.B. bei adduser nicht mehr erscheinen.
Dein Befehl
rkhunter --propupd /usr/bin/adduser
wird nach dem Programmupdate gemacht. Damit generiert rkhunter seine Informationen über das adduser Programm neu. Das setzt aber voraus, dass diese Datenbank mit dem o.g. Befehl angelegt wurde.

Außerdem ist der Pfad /usr/sbin/adduser und nicht /usr/bin/adduser (zumindest hier bei mir, teste das mit "which adduser"). Ach ja, Dir ist klar, dass Du rkhunter als root oder mit sudo aufrufen musst?

Markus
Bitte warten ..
Mitglied: 16568
07.06.2013 um 20:38 Uhr
Und ein Update sollte auch mal Wunder bringen...

Mach das, dann reden wir weiter.
(olle Spamschleuder...)


Lonesome Walker
Bitte warten ..
Mitglied: itproject
10.06.2013 um 10:45 Uhr
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

01.
root@webserver:/home/user# rkhunter --propupd 
02.
[ Rootkit Hunter version 1.4.0 ] 
03.
File updated: searched for 169 files, found 136 
04.
root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser 
05.
Filename is not in the "rkhunter.dat" file: /usr/bin/adduser 
06.
root@webserver:/home/user#
Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:

01.
File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::
Also adduser scheint in der Datei zu sein, beim check mit rkhunter bekomme ich allerdings immernoch Warnings.

Danke für eure Hilfe, brauche sie aber noch ein bisschen ;)
Bitte warten ..
Mitglied: itproject
10.06.2013 um 11:05 Uhr
Zitat von itproject:
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

01.
> root@webserver:/home/user# rkhunter --propupd 
02.
 
03.
> root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser 
04.
> Filename is not in the "rkhunter.dat" file: /usr/bin/adduser 
05.
 
06.
> Schaue ich in die "rkhunter.dat" finde ich folgende Zeile: 
07.
> <code> 
08.
> File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163:: 
09.
> 


OK, das war ein Schreibfehler, hab mit /usr/sbin/adduser die Datei einlesen können, steht allerdings immernoch auf Warning, im Log Taucht auf, dass die Datei durch ein Script ersetzt wurde, dieses ist allerdings in der rkhunter.conf als vertrauenswürdig hinzugefügt.
Bitte warten ..
Mitglied: itproject
10.06.2013 um 11:13 Uhr
Also liebe Leute Problem ist gelöst.

Habe gerade herausgefunden, dass es nach einem rkhunter --update eine NEUE! rkhunter.conf erstellt wurde, wo Whitelisteinträge komplett aussen vor waren!

Habe nun einen softlink von /etc/rkhunter.conf auf /usr/local/etc/rkhunter.conf gemacht, und BUMM es klappt auch ... man man man wer denkt denn schon an sowas

01.
lrwxrwxrwx 1 root staff 18 Jun 10 11:09 /usr/local/etc/rkhunter.conf -> /etc/rkhunter.conf
DANKE FÜR EUREN SUPPORT!
Bitte warten ..
Mitglied: 16568
10.06.2013 um 13:12 Uhr
Dann Haken setzen nicht vergessen


Lonesome Walker
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server Sicherung wirre Meldungen (21)

Frage von DKowalke zum Thema Windows Server ...

Sicherheits-Tools
SEP Small Business Edition - Ständig falsche High-Risk Meldungen

Frage von Fragenicht zum Thema Sicherheits-Tools ...

LAN, WAN, Wireless
System Meldungen und SNMP Traps verspätet auf Cisco SG300-20 (5)

Frage von fiech93 zum Thema LAN, WAN, Wireless ...

Debian
Debian 8, SSH Logging, Popuser-Meldung und rkhunter Problem (5)

Frage von d4shoerncheN zum Thema Debian ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...