Rkhunter на что-то намекает...

Программы для конфигурации и управления операционной системой
Правила форума
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Версия ОС вместе с разрядностью. Пример: LM 18.1 x64, LM Sarah x32 2. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 3. Какое железо. (достаточно вывод inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 4. Суть. Желательно с выводом консоли, логами. 5. Скрин. Просьба указывать 1, 2 и 3 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот

Автор темы
vak64
Сообщения: 25
Зарегистрирован: 06 сен 2017, 16:50
Благодарил (а): 4 раза

Rkhunter на что-то намекает...

Сообщение vak64 » 10 ноя 2017, 10:41

Добрый день, уважаемые товарищи! Прошу помощи, ибо не понимаю что от меня хочет rkhunter. Вообщем проверил им систему и заметил он в ней следующие:

Performing file properties checks

/usr/bin/wget [ Warning ]
/sbin/ip [ Warning ]
/bin/ip [ Warning ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

Буду благодарен, если подскажите на что следует обратить внимание, что означают эти сообщения rkhunter???
 ! Сообщение из: Dja
Rkhunter — это сканер различных видов локальных (потенциальных) уязвимостей (бэкдоров, эксплоитов и руткитов) со своей регулярно обновляемой базой.
Он написан на bash и perl, поэтому будет работать под любой серверной ОС на базе unix без каких-либо проблем. Информация для тех, кто не знает. Я вот не знал.

Аватара пользователя

Chocobo
Сообщения: 9108
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 632 раза
Поблагодарили: 2603 раза

Rkhunter на что-то намекает...

Сообщение Chocobo » 10 ноя 2017, 10:49

vak64, По окончанию проверки он пишет
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Туда и смотри, за подробностями в /var/log/rkhunter.log
Изображение
   
Изображение


Автор темы
vak64
Сообщения: 25
Зарегистрирован: 06 сен 2017, 16:50
Благодарил (а): 4 раза

Rkhunter на что-то намекает...

Сообщение vak64 » 10 ноя 2017, 11:09

Посмотрел, спасибо,вот информация:

Warning: The file properties have changed: File: /usr/bin/wget файл изменен, это ясно, но насколько это опасно для системы?
Warning: The file properties have changed: File: /sbin/ip тоже самое
Warning: The file properties have changed: File: /bin/ip тоже самое

Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?

И что это за подозрительные типы файлов?:
Checking /dev for suspicious file types [ Warning ]
[13:11:55] Warning: Suspicious file types found in /dev:
[13:11:55] /dev/shm/pulse-shm-406032313: data
[13:11:55] /dev/shm/pulse-shm-1346336092: data
[13:11:55] /dev/shm/pulse-shm-2035961397: data
[13:11:55] /dev/shm/pulse-shm-1608521640: data
[13:11:55] /dev/shm/pulse-shm-3131475065: data
[13:11:55] /dev/shm/pulse-shm-1231016659: data
[13:11:55] Checking for hidden files and directories [ Warning ]
Последний раз редактировалось пользователем 1 Dja; всего редактировалось раз: 12
Причина: spoil


Автор темы
vak64
Сообщения: 25
Зарегистрирован: 06 сен 2017, 16:50
Благодарил (а): 4 раза

Rkhunter на что-то намекает...

Сообщение vak64 » 10 ноя 2017, 11:11

Warning: Hidden directory found: /etc/.java извините, забыл добавить...


Аватара пользователя

Chocobo
Сообщения: 9108
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 632 раза
Поблагодарили: 2603 раза

Rkhunter на что-то намекает...

Сообщение Chocobo » 10 ноя 2017, 11:17

vak64 писал(а):
10 ноя 2017, 11:09
Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?
Именно так и было, вероятней всего. Он насколько я знаю должен писать и время модификации для того чтоб можно было отследить.
Чтоб убрать ворнинг должно хватить sudo rkhunter --propupd - он запишет текущие значение как эталонные, чтоб сравнивать при следующих проверках.
vak64 писал(а):
10 ноя 2017, 11:09
И что это за подозрительные типы файлов?:
В разделяемой памяти (Shared Memory, /dev/shm) - приложения могут хранить разную фигнгю абсолютно. Поэтому не считаю это чем-то подозрительным
Изображение
   
Изображение

Аватара пользователя

Chocobo
Сообщения: 9108
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 632 раза
Поблагодарили: 2603 раза

Rkhunter на что-то намекает...

Сообщение Chocobo » 10 ноя 2017, 11:21

vak64 писал(а):
10 ноя 2017, 11:11
Warning: Hidden directory found: /etc/.java извините, забыл добавить...
Тоже подозрительным не выглядит, просто ему не нравится сам факт, что папка скрыта в /etc/ - правда зачем java так делает, неведомо)
Изображение
   
Изображение


Linuha

Rkhunter на что-то намекает...

Сообщение Linuha » 10 ноя 2017, 11:22

И вообще , слово - warning - очень похоже на предупреждение - осторожно - окрашено.

Аватара пользователя

Chocobo
Сообщения: 9108
Зарегистрирован: 27 авг 2016, 19:57
Решено: 198
Откуда: НН
Благодарил (а): 632 раза
Поблагодарили: 2603 раза

Rkhunter на что-то намекает...

Сообщение Chocobo » 10 ноя 2017, 11:26

Linuha, в такого рода программах, коими подогревается (или наоборот усыпляется) пользовательская паранойя - игнорировать ворнинги бывает выше человечьих сил.
А вдруг уже взломали? :hoho:
Изображение
   
Изображение


Автор темы
vak64
Сообщения: 25
Зарегистрирован: 06 сен 2017, 16:50
Благодарил (а): 4 раза

Rkhunter на что-то намекает...

Сообщение vak64 » 10 ноя 2017, 11:29

Да уж, это вы верно подметили)
Большое спасибо всем,теперь все ясно, просто я недавно в сфере linux так сказать, поэтому возникает иногда много вопросов...спасибо вам!

Аватара пользователя

darkfenix
Сообщения: 4979
Зарегистрирован: 27 июн 2017, 10:36
Решено: 57
Откуда: Нижний Тагил
Благодарил (а): 284 раза
Поблагодарили: 939 раз

Rkhunter на что-то намекает...

Сообщение darkfenix » 11 ноя 2017, 15:52

Chocobo писал(а):
10 ноя 2017, 11:26
А вдруг уже взломали?
И в штаны залезли, и в одно место вставили зонд :-D
Изображение

Аватара пользователя

vir0id
Сообщения: 2000
Зарегистрирован: 19 дек 2017, 15:48
Решено: 9
Откуда: Рига
Благодарил (а): 148 раз
Поблагодарили: 217 раз

Rkhunter на что-то намекает...

Сообщение vir0id » 04 янв 2018, 17:42

vak64 писал(а):
10 ноя 2017, 11:09
Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?
Ну да. Если ты проводил проверку до обновлений, а потом после, то всё понятно. Просто при обновах файлы меняют свою структуру и хантер орёт. Там тебе Chocobo, команду правильную дал


asa
Сообщения: 367
Зарегистрирован: 19 авг 2018, 07:45
Решено: 2
Благодарил (а): 100 раз
Поблагодарили: 172 раза

Антивирус всё ещё не нужен?

Сообщение asa » 17 сен 2018, 16:38

Что это значит?
asa@big:~$ sudo rkhunter -c --sk

[ Rootkit Hunter version 1.4.6 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]


Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for sniffer log files [ None found ]
Checking for suspicious directories [ None found ]
Checking for suspicious (large) shared memory segments [ Warning ]


Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/bin/lwp-request [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 145
Suspect files: 1

Rootkit checks...
Rootkits checked : 480
Possible rootkits: 6

Applications checks...
All checks skipped

The system checks took: 1 minute and 23 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
sudo rkhunter -c --enable all --disable none --rwo

Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
Warning: The following processes are using deleted files:
Process: /usr/bin/pulseaudio PID: 1495 File: /memfd:pulseaudio
Process: /usr/bin/nemo-desktop PID: 1659 File: /home/asa/.local/share/gvfs-metadata/home
Process: /usr/bin/cinnamon PID: 1690 File: /home/asa/.local/share/gvfs-metadata/home
Process: /opt/yandex/browser-beta/yandex_browser PID: 1889 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 1957 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /usr/bin/xed PID: 5111 File: /home/asa/.local/share/gvfs-metadata/home
Process: /opt/yandex/browser-beta/yandex_browser PID: 5595 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 5613 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 8901 File: /dev/shm/.ru.yandex.desktop.browser.tGa4Wu
Process: /opt/yandex/browser-beta/yandex_browser PID: 8946 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9012 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9035 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9058 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9080 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9099 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9124 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9145 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9171 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Process: /opt/yandex/browser-beta/yandex_browser PID: 9178 File: /dev/shm/.ru.yandex.desktop.browser.wdzSSI
Warning: The following suspicious (large) shared memory segments have been found:
Process: /usr/lib/x86_64-linux-gnu/cinnamon-settings-daemon/csd-background PID: 1457 Owner: asa Size: 64MB (configured size allowed: 1,0MB)
Process: /usr/bin/nemo-desktop PID: 1659 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/python3.6 PID: 1728 Owner: asa Size: 1,0MB (configured size allowed: 1,0MB)
Process: /usr/lib/gnome-terminal/gnome-terminal-server PID: 2004 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1 PID: 1649 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/xed PID: 5111 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Process: /usr/bin/rhythmbox PID: 5634 Owner: asa Size: 4,0MB (configured size allowed: 1,0MB)
Warning: Process '/sbin/wpa_supplicant' (PID 1019) is listening on the network.
Warning: Process '/sbin/wpa_supplicant' (PID 1019) is listening on the network.
Warning: Process '/sbin/dhclient' (PID 1159) is listening on the network.
Warning: Hidden directory found: /etc/.java
Я заболел? :fp: Начинать паниковать?

Аватара пользователя

darkfenix
Сообщения: 4979
Зарегистрирован: 27 июн 2017, 10:36
Решено: 57
Откуда: Нижний Тагил
Благодарил (а): 284 раза
Поблагодарили: 939 раз

Rkhunter на что-то намекает...

Сообщение darkfenix » 18 сен 2018, 03:35

Вот сами же на пустом месте создаете себе проблемы, а потом появляются подобные вопросы.
Вот кому ты нафиг нужен.
Изображение


asa
Сообщения: 367
Зарегистрирован: 19 авг 2018, 07:45
Решено: 2
Благодарил (а): 100 раз
Поблагодарили: 172 раза

Rkhunter на что-то намекает...

Сообщение asa » 18 сен 2018, 15:17

Жена сказала - я тот самый :joke:

Вернуться в «Системные утилиты»