rkhunter đưa ra cảnh báo cho tôi về việc sử dụng / usr / bin / lwp-request - tôi nên làm gì? [Debian 9]

25

Vì vậy, tôi chỉ cài đặt và chạy rkhunter cho tôi thấy OK màu xanh lá cây / Không tìm thấy mọi thứ ngoại trừ: / usr / bin / lwp-request , như vậy:

/usr/bin/lwp-request                                     [ Warning ]

Trong nhật ký có ghi:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Tôi đã chạy rkhunter --propupdsudo apt-get update && sudo apt-get upgradekhông giúp được gì. Tôi đã cài đặt Debian 9.0 chỉ vài ngày trước và là người mới sử dụng Linux.

Mọi góp ý về những gì để làm gì?

Chỉnh sửa : Hơn nữa chkrootkit cung cấp cho tôi điều này:

Các tập tin và thư mục đáng ngờ sau đây đã được tìm thấy: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Tôi đoán đó là một câu hỏi riêng biệt? Hay điều này không có vấn đề gì cả? Tôi không biết cách kiểm tra xem các tập tin / thư mục này có ổn và cần thiết không.

Chỉnh sửa : Lưu ý Tôi đã từng nhận được cảnh báo về "Kiểm tra thay đổi tệp passwd" và "Kiểm tra thay đổi tệp nhóm" ngay cả khi tôi không thay đổi bất kỳ afaik nào. Một lần quét trước và sau đó cho thấy không có cảnh báo nào - những điều này chỉ hiển thị một lần. Có ý kiến ​​gì không?

debian  security  rkhunter 
mYnDstrEAm
nguồn
1
lwp-requestđược cho là một kịch bản Perl, vì vậy đó là một cảnh báo kỳ lạ.
derobert
@derobert Bạn có nhận được lỗi tương tự không? Ngoài ra, cảnh báo là imo về việc nó đã bị thay thế (sang một tập lệnh perl khác tôi đoán) - không phải về việc nó là một tập lệnh perl. Tôi đã sao chép nội dung của nó ở đây: pastebin.com/bSLivGvz
mYnDstrEAm
1
Tôi nhận được cảnh báo tương tự trên hộp thử nghiệm Debian của tôi. Pastebin của bạn cũng phù hợp với bản sao yêu cầu lwp của tôi (mặc dù với các thay đổi kết thúc dòng, mà tôi đoán là đến từ pastebin). Vì vậy, tôi nghi ngờ báo động sai.
derobert

Câu trả lời:

25

rkhunter cần biết người quản lý gói bạn đang sử dụng.

Tạo hoặc chỉnh sửa /etc/rkhunter.conf.localvà thêm dòng sau:

PKGMGR=DPKG

Nếu bạn không có trên Debian hoặc Ubuntu, thì hãy thay đổi DPKGcho trình quản lý gói thực tế của bạn.

Bằng cách này, rkhuntersẽ biết để mong đợi các tệp thực thi đó là các tập lệnh và không gắn cờ là dương tính giả.

Nó sẽ đảm bảo rằng nếu các tệp bị giả mạo, thì kết quả dương tính mới sẽ hiển thị.

Macroman
nguồn
Tuyệt quá; nhưng tại sao tôi không thể đặt nó thành "APT-GET"? ( câu hỏi liên quan ) Và mặc định nó sử dụng cái gì để kiểm tra giá trị băm nếu đó không phải là DPKG cho Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter không nhận ra apt là người quản lý gói. dpkg cũng là một trình quản lý gói hợp lệ trên tất cả các hệ thống có apt (trừ khi bị xóa). Tôi nghĩ giá trị mặc định là RPM
MacroMan 15/03/18
@MacroMan Giá trị mặc định được nêu trong trang man làNONE
Adam Spiers
Các nhận xét ở trạng thái rkhunter.conf: "# NONE cũng là mặc định cho Debian, vì việc chạy --propupd mất khoảng 4 lần khi nó được đặt thành DPKG". Xem: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Có vẻ như không cần thiết lập tùy chọn PKGMGR
Nadir Latif
1

Tương tự nếu bạn có quyền truy cập root được kích hoạt trong SSH. Sau đó bạn nên thêm

ALLOW_SSH_ROOT_USER=YES

vào tập tin /etc/rkhunter.conf.local của bạn

Antonio J. de Oliveira
nguồn
0

Như đã đề cập trên: https://metacpan.org/pod/lwp-request , lwp-request là một tập lệnh cho phép thực hiện các yêu cầu http đến các máy chủ web. Nó không phải là độc hại và vì vậy lỗi có thể được bỏ qua.

Để khắc phục lỗi, bạn cần cho phép lệnh / usr / bin / lwp-request được sử dụng làm tập lệnh. Điều này có thể được thực hiện bằng cách thêm dòng:

SCRIPTWHITELIST=/usr/bin/lwp-request

Để /etc/rkhunter.conf hoặc /etc/rkhunter.conf.local tập tin. Xem tùy chọn SCRIPTWHITELIST trong tệp cấu hình rkhunter.conf

Giải pháp này đã được đề cập trên các diễn đàn Linux Mint

Nadir Latif
nguồn
1
Và nếu ai đó quản lý để thay thế lwp-request bằng một tập lệnh độc hại thì sao? Xin hãy thận trọng hơn khi sử dụng đề xuất này. Nó khiến bạn dễ bị tổn thương!
Macroman
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.