[Risolto] Parere su "file sospetti" rkhunter

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
Avatar utente
TheBigRock
Prode Principiante
Messaggi: 33
Iscrizione: venerdì 20 marzo 2015, 17:41
Desktop: Ubuntu
Distribuzione: Ubuntu 14.04.2 LTS
Sesso: Maschile

[Risolto] Parere su "file sospetti" rkhunter

Messaggio da TheBigRock »

Ciao a tutti cari amici del forum,
Ho letto molto a riguardo e nell'addendum del topic relativo alla sicurezza di questa sezione è indicato che al 99,9999% i "file sospetti" di rkhunter sono falsi positivi in quanto è un programma generico e non sa riconoscere le specifiche di ogni distro quindi quando nota file che non sa classificare, li inserisce in "file sospetti".
Nel mio caso sono ben 32 questi file sospetti, nello specifico sono passati da 8 a 32 nel momento in cui ho installato eclipse con gli strumenti di sviluppo per android, tutto ovviamente da fonti ufficiali.
Da internet ho scaricato soltanto Tor Browser e VM Oracle dai siti ufficiali, non presto servizi server e tengo il sistema aggiornato.
Soltanto una volta ho aggiunto dei repository esterni cioè quelli della noobslab per installare il tema MacUbuntu, già rimossi con tutto il software attinente.
Qualche parere a riguardo ?
Grazie mille :birra:
Ultima modifica di TheBigRock il domenica 19 luglio 2015, 17:17, modificato 1 volta in totale.
spider-net
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 432
Iscrizione: martedì 11 maggio 2010, 17:38
Desktop: CWM
Distribuzione: FreeBSD 12.1

Re: Parere su "file sospetti" rkhunter

Messaggio da spider-net »

Cosa contiene il file /var/log/rkhunter.log ?
Avatar utente
printf mynick
Prode Principiante
Messaggi: 9
Iscrizione: lunedì 13 luglio 2015, 20:42
Desktop: xfce i3-wm gnome3
Distribuzione: Archlinux freeBSD CentOS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da printf mynick »

Inoltre fossi in te ..una bella scansione con clamav! A me ha trovato un rootkit UNIX.XOR.DDoS. ... Sono diventato matto con rkhunter e chrootkit,con i quali mi sono fatto un idea,ma la conferma al 100%me l'ha data clamav .. Occhio se usi SSH e come è configurato nel caso.. ;). Basta una leggerezza come un permitrootlogin no COMMENTATO lol e una passwd leggera,poi con nmap si fa il passo successivo prima dei danni veri e propri..
01110100 01100101 01100011 01101110 01101111 01110000 01100001 01100100 01101111 00100000 01110110 01101001 00100000 01110000 01101111 01110010 01100111 01100101 00100000 01101001 00100000 01110011 01110101 01101111 01101001 00100000 01110011 01100001 01101100 01110101 01110100 01101001
Avatar utente
TheBigRock
Prode Principiante
Messaggi: 33
Iscrizione: venerdì 20 marzo 2015, 17:41
Desktop: Ubuntu
Distribuzione: Ubuntu 14.04.2 LTS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da TheBigRock »

Ciao, non uso ssh e clamav (lanciato senza sudo) non mi trova nulla di strano ogni tanto qualche PUA tra le cache... rkhunter non mi ha mai trovato rootkit ma soltanto file sospetti ... se volete carico il file di log...
Avatar utente
printf mynick
Prode Principiante
Messaggi: 9
Iscrizione: lunedì 13 luglio 2015, 20:42
Desktop: xfce i3-wm gnome3
Distribuzione: Archlinux freeBSD CentOS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da printf mynick »

Carica lo si. Se non e troppo lungo usa un pastebin
C'è da dire però che non è che sia il massimo dell attendibilità rkhunter.. Ad esempio sui sistemi con systemd da sempre /sbin/init come infetto...
01110100 01100101 01100011 01101110 01101111 01110000 01100001 01100100 01101111 00100000 01110110 01101001 00100000 01110000 01101111 01110010 01100111 01100101 00100000 01101001 00100000 01110011 01110101 01101111 01101001 00100000 01110011 01100001 01101100 01110101 01110100 01101001
Avatar utente
TheBigRock
Prode Principiante
Messaggi: 33
Iscrizione: venerdì 20 marzo 2015, 17:41
Desktop: Ubuntu
Distribuzione: Ubuntu 14.04.2 LTS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da TheBigRock »

Ecco il file di log... oggi all'avvio di Ubuntu è successa una cosa strana... l'immagine che avevo impostato come sfondo (estensione jpg) del desktop è sparita e si è impostata quella standard :muro: ... cosa può essere ??
Allegati
rkhunter.log
(126.75 KiB) Scaricato 82 volte
spider-net
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 432
Iscrizione: martedì 11 maggio 2010, 17:38
Desktop: CWM
Distribuzione: FreeBSD 12.1

Re: Parere su "file sospetti" rkhunter

Messaggio da spider-net »

Riguardo agli errori con dicitura

Codice: Seleziona tutto

Warning: The file properties have changed
sono probabilmente causati da aggiornamenti dei pacchetti.
Prima di eseguire un aggiornamento o prima di installare nuovo software ti consiglio di dare i seguenti comandi:

Codice: Seleziona tutto

rkhunter --update
per aggiornare il database di rkhunter e

Codice: Seleziona tutto

rkhunter --propupd
memorizza lo stato attuale dei file, così in caso vengano alterati, rkhunter ci allerterà.

Se tali warning non sono causati da aggiornamenti nei pacchetti allora c'è qualcosa che non va.

Questi warning sono falsi positivi:

Codice: Seleziona tutto

[15:55:36] Warning: Suspicious file types found in /dev:
[15:55:36]          /dev/.udev/rules.d/root.rules: ASCII text
[15:55:36]   Checking for hidden files and directories       [ Warning ]
[15:55:36] Warning: Hidden directory found: /etc/.java: directory 
[15:55:36] Warning: Hidden directory found: /dev/.udev: directory 
[15:55:36] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Per sopprimere questi falsi positivi puoi modificare il file /etc/rkhunter.conf inserendo:

Codice: Seleziona tutto

ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENDIR="/etc/.java"
ALLOWHIDDENFILE="/dev/.initramfs"
Una volta salvato il file dai il comando

Codice: Seleziona tutto

sudo rkhunter -C
Se tale comando non da alcun output allora nel file di configurazione non ci sono errori e puoi far partire una scansione con

Codice: Seleziona tutto

sudo rkhunter -c
Uno strumento più accurato è clamAV. Inoltre se non usi repo o PPA esterni per installare i tuoi programmi non dovresti incontrare alcuna minaccia.
Avatar utente
printf mynick
Prode Principiante
Messaggi: 9
Iscrizione: lunedì 13 luglio 2015, 20:42
Desktop: xfce i3-wm gnome3
Distribuzione: Archlinux freeBSD CentOS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da printf mynick »

Certo.. A meno di non usare SSH sulla 22, con accesso root e un logintime di più di un minuto :p
01110100 01100101 01100011 01101110 01101111 01110000 01100001 01100100 01101111 00100000 01110110 01101001 00100000 01110000 01101111 01110010 01100111 01100101 00100000 01101001 00100000 01110011 01110101 01101111 01101001 00100000 01110011 01100001 01101100 01110101 01110100 01101001
Avatar utente
TheBigRock
Prode Principiante
Messaggi: 33
Iscrizione: venerdì 20 marzo 2015, 17:41
Desktop: Ubuntu
Distribuzione: Ubuntu 14.04.2 LTS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da TheBigRock »

Grazie mille per le risposte, clamav si lancia con o senza sudo?? Io solitamente lo lancio da terminale senza sudo...
Comunque non uso repo esterni,soltanto una volta li ho usati per installare il tema "Mac Ubuntu" ed erano i repo della noobslab, abbastanza attendibili... poi li ho eliminati con tutto il software annesso e connesso...
spider-net
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 432
Iscrizione: martedì 11 maggio 2010, 17:38
Desktop: CWM
Distribuzione: FreeBSD 12.1

Re: Parere su "file sospetti" rkhunter

Messaggio da spider-net »

emanuc
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1303
Iscrizione: sabato 1 giugno 2013, 0:32
Desktop: KDE plasma
Distribuzione: Fedora Linux
Sesso: Maschile
Località: Catania

Re: Parere su "file sospetti" rkhunter

Messaggio da emanuc »

Secondo me, puoi stare tranquillo, se usi Ubuntu su Desktop e non come server, sono operazioni inutili, secondo me. Utile è installare software dai repository ufficiali o dal sito del produttore, cioè da fonti attendibili. Infatti ho letto i log e sono tutti dei "Warning" e "Not found ". Sul desktop, neanche Clamav ha senso.
Avatar utente
TheBigRock
Prode Principiante
Messaggi: 33
Iscrizione: venerdì 20 marzo 2015, 17:41
Desktop: Ubuntu
Distribuzione: Ubuntu 14.04.2 LTS
Sesso: Maschile

Re: Parere su "file sospetti" rkhunter

Messaggio da TheBigRock »

Ok grazie mille a tutti, adesso sono più tranquillo =)
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti