Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Rkhunter alle Meldungen clear

Frage Linux Debian

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

07.06.2013 um 10:35 Uhr, 2499 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

habe einen rkhunter im Einsatz

nach "rkhunter -c" habe ich folgende Einträge im log:

01.
tail -f /var/log/rkhunter.log |grep Warning 
02.
tail: /var/log/rkhunter.log: file truncated 
03.
[10:30:13]   /usr/sbin/adduser                               [ Warning ] 
04.
[10:30:13] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable 
05.
[10:30:15]   /usr/bin/ldd                                    [ Warning ] 
06.
[10:30:15] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable 
07.
[10:30:18]   /bin/which                                      [ Warning ] 
08.
[10:30:18] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable 
09.
[10:30:34]   Checking /dev for suspicious file types         [ Warning ] 
10.
[10:30:34] Warning: Suspicious file types found in /dev: 
11.
[10:30:35]   Checking for hidden files and directories       [ Warning ] 
12.
[10:30:35] Warning: Hidden directory found: '/dev/.udev' 
13.
[10:30:35] Warning: Hidden directory found: '/dev/.initramfs' 
14.
[10:30:35]   Checking version of GnuPG                       [ Warning ] 
15.
[10:30:35] Warning: Application 'gpg', version '1.4.10', is out of date, and possibly a security risk. 
16.
[10:30:35]   Checking version of OpenSSL                     [ Warning ] 
17.
[10:30:35] Warning: Application 'openssl', version '0.9.8o', is out of date, and possibly a security risk. 
18.
[10:30:35]   Checking version of OpenSSH                     [ Warning ] 
19.
[10:30:35] Warning: Application 'sshd', version '5.5p1', is out of date, and possibly a security risk.
Ich möchte alle Meldungen auf clear setzen...

Wenn ich nun z.b. adduser als "vertrauenswürdige" änderung für rkhunter hinzufügen möchte muss ich dann folgendes machen?:

01.
rkhunter --propupd /usr/bin/adduser
Oder:

01.
rkhunter --propupd adduser

Habe beides ausprobiert, und weiterhin taucht adduser im Warning auf.


Hat vielleicht jemand mit mehr Erfahrung den einen oder anderen Tip für mich ;)?

Danke im Vorraus!
Itproject
Mitglied: 64748
07.06.2013 um 19:16 Uhr
Hallo,

zuerst führt man rkhunter so aus
rkhunter --propupd
damit legt es eine Datenbank an /var/lib/rkhunter/db/rkhunter.dat dort werden die Dateieigenschaften der ausführbaren Dateien gespeichert.

Wenn man danach rkhunter mit der Option --checkall ausführt, dann sollten die Warnungen z.B. bei adduser nicht mehr erscheinen.
Dein Befehl
rkhunter --propupd /usr/bin/adduser
wird nach dem Programmupdate gemacht. Damit generiert rkhunter seine Informationen über das adduser Programm neu. Das setzt aber voraus, dass diese Datenbank mit dem o.g. Befehl angelegt wurde.

Außerdem ist der Pfad /usr/sbin/adduser und nicht /usr/bin/adduser (zumindest hier bei mir, teste das mit "which adduser"). Ach ja, Dir ist klar, dass Du rkhunter als root oder mit sudo aufrufen musst?

Markus
Bitte warten ..
Mitglied: 16568
07.06.2013 um 20:38 Uhr
Und ein Update sollte auch mal Wunder bringen...

Mach das, dann reden wir weiter.
(olle Spamschleuder...)


Lonesome Walker
Bitte warten ..
Mitglied: itproject
10.06.2013 um 10:45 Uhr
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

01.
root@webserver:/home/user# rkhunter --propupd 
02.
[ Rootkit Hunter version 1.4.0 ] 
03.
File updated: searched for 169 files, found 136 
04.
root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser 
05.
Filename is not in the "rkhunter.dat" file: /usr/bin/adduser 
06.
root@webserver:/home/user#
Schaue ich in die "rkhunter.dat" finde ich folgende Zeile:

01.
File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163::
Also adduser scheint in der Datei zu sein, beim check mit rkhunter bekomme ich allerdings immernoch Warnings.

Danke für eure Hilfe, brauche sie aber noch ein bisschen ;)
Bitte warten ..
Mitglied: itproject
10.06.2013 um 11:05 Uhr
Zitat von itproject:
Hallo Zusammen, habe nun (nochmals) entsprechende Zeilen ausgeführt:

01.
> root@webserver:/home/user# rkhunter --propupd 
02.
 
03.
> root@webserver:/home/user# rkhunter --propupd /usr/bin/adduser 
04.
> Filename is not in the "rkhunter.dat" file: /usr/bin/adduser 
05.
 
06.
> Schaue ich in die "rkhunter.dat" finde ich folgende Zeile: 
07.
> <code> 
08.
> File:/usr/sbin/adduser:cffa0beab754d8ef2a1d915742cc29d281951dd7:925701:0755:0:0:34458:1290374163:: 
09.
> 


OK, das war ein Schreibfehler, hab mit /usr/sbin/adduser die Datei einlesen können, steht allerdings immernoch auf Warning, im Log Taucht auf, dass die Datei durch ein Script ersetzt wurde, dieses ist allerdings in der rkhunter.conf als vertrauenswürdig hinzugefügt.
Bitte warten ..
Mitglied: itproject
10.06.2013 um 11:13 Uhr
Also liebe Leute Problem ist gelöst.

Habe gerade herausgefunden, dass es nach einem rkhunter --update eine NEUE! rkhunter.conf erstellt wurde, wo Whitelisteinträge komplett aussen vor waren!

Habe nun einen softlink von /etc/rkhunter.conf auf /usr/local/etc/rkhunter.conf gemacht, und BUMM es klappt auch ... man man man wer denkt denn schon an sowas

01.
lrwxrwxrwx 1 root staff 18 Jun 10 11:09 /usr/local/etc/rkhunter.conf -> /etc/rkhunter.conf
DANKE FÜR EUREN SUPPORT!
Bitte warten ..
Mitglied: 16568
10.06.2013 um 13:12 Uhr
Dann Haken setzen nicht vergessen


Lonesome Walker
Bitte warten ..
Ähnliche Inhalte
Debian
Debian 8, SSH Logging, Popuser-Meldung und rkhunter Problem
Frage von d4shoerncheNDebian5 Kommentare

Guten Morgen, ich habe einen kleinen Linux Server mit Debian 8. Ich habe für SSH den Port geändert und ...

Windows 7
(none) Meldungen auf dem Desktop entfernen
Frage von 113320Windows 74 Kommentare

Hallo, kurze Frage. Gibt es eine Möglichkeit, die auf dem Bild zu sehenden (none) Einträge zu entfernen? Habe gehört ...

Windows Update
Meldung über verfügbare Updates deaktivieren
Frage von rssd1983Windows Update2 Kommentare

Hallo zusammen, wir haben das Problem, dass Windows 10 sich bei verfügbaren Updates immer über den gesamten Bildschirm präsentiert ...

Windows Server
Ewige Meldung "Druckertreiber muss aktualisiert werden"
Frage von thaefligerWindows Server

Alle Server Win2k8R2 Citrix Xenapp 6.5, Published Desktop Hallo zusammen ich habe hier einen Brother QL-720NW Labeldrucker, den ich ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 2 StundenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 6 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server15 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell10 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Windows Server
Administratoren-Gruppe abfragen?
Frage von 1410640014Windows Server6 Kommentare

Hallo, kennt jemand eine einfache (und schnelle) Möglichkeit, von allen Client-Computern im Active Directorey die Administratoren-Gruppe abzufragen, wer da ...