web-dev-qa-db-fra.com

Les avertissements de Rkhunter aident

J'ai installé Ubuntu 14.04 il y a quelques jours. J'ai scanné avec un RkHunter et j'ai reçu quelques avertissements que je ne sais pas vraiment quoi faire. J'ai lu un peu sur les faux positifs, mais je n'ai pas trouvé la réponse pour moi-même. J'ai eu ces erreurs:

Checking /dev for suspicious file types         [ Warning ]
[19:44:16] Warning: Suspicious file types found in /dev:
[19:44:16]          /dev/.udev/rules.d/root.rules: ASCII text
[19:44:16]   Checking for hidden files and directories       [ Warning ]
[19:44:16] Warning: Hidden directory found: /etc/.Java: directory
[19:44:16] Warning: Hidden directory found: /dev/.udev: directory
[19:44:16] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Checking for group file changes                 [ Warning ]
[19:44:16] Warning: Group 'winbindd_priv' has been added to the group file.

Devrais-je m'inquiéter ?

rkhunter
2
darkbase

Ok laisse tomber ceci:

[19:44:16] /dev/.udev/rules.d/root.rules: ASCII text

  • un fichier contenant le texte ASCII est suspect? Pourquoi?
  • il y avait un bug en 2010 donc le fichier me semble normal.
  • google dit faux positif .

[19:44:16] Attention: répertoire caché trouvé: /etc/.Java: répertoire

[19:44:16] Attention: répertoire caché trouvé: /dev/.udev: répertoire

[19:44:16] Avertissement: fichier caché trouvé: /dev/.initramfs: lien symbolique vers `/ run/initramfs '

  • les fichiers cachés sont un problème? Pourquoi? Le fichier caché me semble être une "fonctionnalité" de Linux.
  • rapport de bogue et correction .
  • Le "correctif" montre également une faille grave dans rkhunter: placer des fichiers dans un fichier de configuration pour les ignorer est tout simplement stupide. Ça l'est vraiment. Pensez à ce que cela signifie: donc, si j'ajoute des fichiers -all- de mon disque au fichier de configuration pour les ignorer, je ne pourrai jamais obtenir de rootkit? Non, cela signifie qu’un rootkit a des emplacements supplémentaires pour se cacher. Cela me semble contre-productif.

[19:44:16] Avertissement: le groupe 'winbindd_priv' a été ajouté au fichier de groupe.

Au fait: vous êtes celui qui choisit d'utiliser rkunter, vous devrez donc également effectuer ces recherches vous-même lorsque vous recevez un avertissement.

Ne pas utiliser rkhunter ou installer un -second- distinct (donc pas Lynis car il s’agit d’un clone rkhunter) ( chrootkit.org semble inactif; le logiciel est toujours disponible dans les dépôts). Exécutez les deux et éliminez tout ce qu’un d’entre eux signale comme un problème de faux positif. Les informations de paquet sur debian pour rkhunter mentionnent également ceci .

3
Rinzwind

Non, vous ne devriez pas vous inquiéter des faux positifs.

Comment installer, configurer et utiliser RKhunter est expliqué dans la page de la communauté RKhunter . Vous y trouverez également des explications détaillées sur certains résultats attendus, comme le vôtre, et sur la manière de les ajouter à la liste blanche.

0
user589808