rkhunter: đúng cách để xử lý cảnh báo hơn nữa?

8

Tôi đã googled một số và kiểm tra hai liên kết đầu tiên nó tìm thấy:

  1. http://www.skullbox.net/rkhunter.php
  2. http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/

Họ không đề cập đến những gì tôi sẽ làm trong trường hợp cảnh báo như vậy:

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

Q1: Có HowTos mở rộng hơn giải thích cách đối phó với các cảnh báo loại khác nhau không?

Và câu hỏi thứ hai. Hành động của tôi đã đủ để giải quyết những cảnh báo này chưa?

a) Để tìm gói chứa tệp đáng ngờ, ví dụ: đó là debianutils cho tệp / bin / mà

~ > dpkg -S /bin/which
debianutils: /bin/which

b) Để kiểm tra tổng kiểm tra gói debianutils:

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

c) Để thư giãn /bin/whichkhi tôi thấy OK

/bin/which                                                                    OK

d) Để đưa tập tin /bin/whichđến /etc/rkhunter.confnhưSCRIPTWHITELIST="/bin/which"

e) Đối với các cảnh báo như đối với tệp /usr/bin/lynxtôi cập nhật tổng kiểm tra vớirkhunter --propupd /usr/bin/lynx.cur

Q2: Tôi có giải quyết đúng các cảnh báo như vậy không?

rkhunter 
zuba
nguồn
Chứng nhận của Hoa Kỳ - Các bước để khôi phục từ thỏa hiệp hệ thống UNIX hoặc NT :In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.
ignis

Câu trả lời:

3

Sử dụng debsumslà một ý tưởng rất thông minh với một lỗ hổng lớn: Nếu có gì đó ghi đè lên một tệp thuộc sở hữu gốc /bin/which, thì nó cũng có thể viết lại /var/lib/dpkg/info/*.md5sumsvới tổng kiểm tra được cập nhật. Không có chuỗi quyền giám sát nào đối với chữ ký Debian / Ubuntu, theo như tôi có thể thấy. Đó là một sự xấu hổ thực sự bởi vì đó sẽ là một cách thực sự đơn giản, thực sự nhanh chóng để xác minh tính xác thực của một tập tin trực tiếp.

Thay vào đó để thực sự xác minh một tệp, bạn cần tải xuống một bản sao mới của cuộc tranh luận đó, trích xuất nội bộ control.tar.gzvà sau đó xem tệp md5sums của nó để so sánh với thực tế md5sum /bin/which. Đó là một quá trình đau đớn.

Điều có nhiều khả năng đã xảy ra ở đây là bạn đã có một số cập nhật hệ thống (thậm chí nâng cấp phân phối) và bạn chưa yêu cầu rkhunter cập nhật hồ sơ của nó. rkhunter cần biết các tập tin nên như thế nào để mọi cập nhật hệ thống sẽ làm đảo lộn nó.

Khi bạn biết một cái gì đó an toàn, bạn có thể chạy sudo rkhunter --propupd /bin/whichđể cập nhật tham chiếu của tệp.

Đây là một trong những vấn đề với rkhunter. Nó cần tích hợp sâu vào quá trình gỡ lỗi để khi đáng tin cậy, các gói đã ký được cài đặt, rkhunter cập nhật các tham chiếu của nó tới các tệp.

Và không, tôi sẽ không đưa vào danh sách trắng những thứ như thế này bởi vì đây chính xác là thứ mà rootkit sẽ theo đuổi.

Oli
nguồn
Cảm ơn Oli, tôi thực sự đánh giá cao lời giải thích của bạn, nhưng tôi thích một giải pháp thực tế hoặc cách giải quyết. Tôi đang mở một tiền thưởng khác. Nếu tôi không nhận được những gì tôi cần, tôi sẽ chỉ định tiền thưởng cho câu trả lời của bạn. Ok?)
zuba
1

zuba, ý ​​tưởng danh sách trắng là một ý tưởng tồi; đó là việc không gán một tệp cần kiểm tra cho bạn và phần mềm chống phần mềm độc hại của bạn, ý tưởng được sử dụng mặc dù và xem tin nhắn là vô hại. Chúng ta có thể tạo ra một văn bản thay thế sẽ tốt hơn. ở đâu đó dọc theo dòng \ bắt đầu bằng \ sẽ bị bỏ qua; nhưng điều đó cần một số kinh nghiệm mã hóa và kiến ​​thức sâu sắc về hoạt động của rkhunter.

Thùng / sẽ được viết lại khi cần để điều chỉnh các thay đổi lập trình; Nói chung, một tệp có thể được thay thế hoặc các tệp có thể được tạo tạm thời và thay đổi hoặc biến mất sau khi khởi động lại và điều đó có thể đánh lừa phần mềm rkhunter.

Có một dòng nơi phần mềm / cập nhật hoặc phần mềm chống virut giống với rootkit và tôi tin rằng đây là một trong số đó.

Phương pháp bạn sử dụng chỉ nguy hiểm nếu nó thay đổi chương trình hoặc tệp sẽ (hành động) bằng cách nào đó ảnh hưởng đến hoạt động của máy tính. Đôi khi chúng ta tệ hơn là máy móc của chúng tôi trong khía cạnh đó. Chứng minh điều này cho máy tính của bạn thực sự không công bằng khi hỏi, vì tôi có thể nếu nó là của tôi. Tôi sẽ biết, ghi lại các cảnh báo và tổng kiểm tra và sẽ lưu ý bất cứ khi nào có thay đổi.

Đèn lồng Diogenes
nguồn
1
Có, tôi đồng ý rằng danh sách trắng / bin / đó là một ý tưởng tồi
zuba
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.