[Risolto] Parere su "file sospetti" rkhunter
- TheBigRock
- Prode Principiante
- Messaggi: 33
- Iscrizione: venerdì 20 marzo 2015, 17:41
- Desktop: Ubuntu
- Distribuzione: Ubuntu 14.04.2 LTS
- Sesso: Maschile
[Risolto] Parere su "file sospetti" rkhunter
Ciao a tutti cari amici del forum,
Ho letto molto a riguardo e nell'addendum del topic relativo alla sicurezza di questa sezione è indicato che al 99,9999% i "file sospetti" di rkhunter sono falsi positivi in quanto è un programma generico e non sa riconoscere le specifiche di ogni distro quindi quando nota file che non sa classificare, li inserisce in "file sospetti".
Nel mio caso sono ben 32 questi file sospetti, nello specifico sono passati da 8 a 32 nel momento in cui ho installato eclipse con gli strumenti di sviluppo per android, tutto ovviamente da fonti ufficiali.
Da internet ho scaricato soltanto Tor Browser e VM Oracle dai siti ufficiali, non presto servizi server e tengo il sistema aggiornato.
Soltanto una volta ho aggiunto dei repository esterni cioè quelli della noobslab per installare il tema MacUbuntu, già rimossi con tutto il software attinente.
Qualche parere a riguardo ?
Grazie mille
Ho letto molto a riguardo e nell'addendum del topic relativo alla sicurezza di questa sezione è indicato che al 99,9999% i "file sospetti" di rkhunter sono falsi positivi in quanto è un programma generico e non sa riconoscere le specifiche di ogni distro quindi quando nota file che non sa classificare, li inserisce in "file sospetti".
Nel mio caso sono ben 32 questi file sospetti, nello specifico sono passati da 8 a 32 nel momento in cui ho installato eclipse con gli strumenti di sviluppo per android, tutto ovviamente da fonti ufficiali.
Da internet ho scaricato soltanto Tor Browser e VM Oracle dai siti ufficiali, non presto servizi server e tengo il sistema aggiornato.
Soltanto una volta ho aggiunto dei repository esterni cioè quelli della noobslab per installare il tema MacUbuntu, già rimossi con tutto il software attinente.
Qualche parere a riguardo ?
Grazie mille
Ultima modifica di TheBigRock il domenica 19 luglio 2015, 17:17, modificato 1 volta in totale.
-
- Scoppiettante Seguace
- Messaggi: 432
- Iscrizione: martedì 11 maggio 2010, 17:38
- Desktop: CWM
- Distribuzione: FreeBSD 12.1
Re: Parere su "file sospetti" rkhunter
Cosa contiene il file /var/log/rkhunter.log ?
- printf mynick
- Prode Principiante
- Messaggi: 9
- Iscrizione: lunedì 13 luglio 2015, 20:42
- Desktop: xfce i3-wm gnome3
- Distribuzione: Archlinux freeBSD CentOS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Inoltre fossi in te ..una bella scansione con clamav! A me ha trovato un rootkit UNIX.XOR.DDoS. ... Sono diventato matto con rkhunter e chrootkit,con i quali mi sono fatto un idea,ma la conferma al 100%me l'ha data clamav .. Occhio se usi SSH e come è configurato nel caso.. . Basta una leggerezza come un permitrootlogin no COMMENTATO lol e una passwd leggera,poi con nmap si fa il passo successivo prima dei danni veri e propri..
01110100 01100101 01100011 01101110 01101111 01110000 01100001 01100100 01101111 00100000 01110110 01101001 00100000 01110000 01101111 01110010 01100111 01100101 00100000 01101001 00100000 01110011 01110101 01101111 01101001 00100000 01110011 01100001 01101100 01110101 01110100 01101001
- TheBigRock
- Prode Principiante
- Messaggi: 33
- Iscrizione: venerdì 20 marzo 2015, 17:41
- Desktop: Ubuntu
- Distribuzione: Ubuntu 14.04.2 LTS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Ciao, non uso ssh e clamav (lanciato senza sudo) non mi trova nulla di strano ogni tanto qualche PUA tra le cache... rkhunter non mi ha mai trovato rootkit ma soltanto file sospetti ... se volete carico il file di log...
- printf mynick
- Prode Principiante
- Messaggi: 9
- Iscrizione: lunedì 13 luglio 2015, 20:42
- Desktop: xfce i3-wm gnome3
- Distribuzione: Archlinux freeBSD CentOS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Carica lo si. Se non e troppo lungo usa un pastebin
C'è da dire però che non è che sia il massimo dell attendibilità rkhunter.. Ad esempio sui sistemi con systemd da sempre /sbin/init come infetto...
C'è da dire però che non è che sia il massimo dell attendibilità rkhunter.. Ad esempio sui sistemi con systemd da sempre /sbin/init come infetto...
01110100 01100101 01100011 01101110 01101111 01110000 01100001 01100100 01101111 00100000 01110110 01101001 00100000 01110000 01101111 01110010 01100111 01100101 00100000 01101001 00100000 01110011 01110101 01101111 01101001 00100000 01110011 01100001 01101100 01110101 01110100 01101001
- TheBigRock
- Prode Principiante
- Messaggi: 33
- Iscrizione: venerdì 20 marzo 2015, 17:41
- Desktop: Ubuntu
- Distribuzione: Ubuntu 14.04.2 LTS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Ecco il file di log... oggi all'avvio di Ubuntu è successa una cosa strana... l'immagine che avevo impostato come sfondo (estensione jpg) del desktop è sparita e si è impostata quella standard ... cosa può essere ??
- Allegati
-
- rkhunter.log
- (126.75 KiB) Scaricato 82 volte
-
- Scoppiettante Seguace
- Messaggi: 432
- Iscrizione: martedì 11 maggio 2010, 17:38
- Desktop: CWM
- Distribuzione: FreeBSD 12.1
Re: Parere su "file sospetti" rkhunter
Riguardo agli errori con dicitura
sono probabilmente causati da aggiornamenti dei pacchetti.
Prima di eseguire un aggiornamento o prima di installare nuovo software ti consiglio di dare i seguenti comandi:
per aggiornare il database di rkhunter e
memorizza lo stato attuale dei file, così in caso vengano alterati, rkhunter ci allerterà.
Se tali warning non sono causati da aggiornamenti nei pacchetti allora c'è qualcosa che non va.
Questi warning sono falsi positivi:
Per sopprimere questi falsi positivi puoi modificare il file /etc/rkhunter.conf inserendo:
Una volta salvato il file dai il comando
Se tale comando non da alcun output allora nel file di configurazione non ci sono errori e puoi far partire una scansione con
Uno strumento più accurato è clamAV. Inoltre se non usi repo o PPA esterni per installare i tuoi programmi non dovresti incontrare alcuna minaccia.
Codice: Seleziona tutto
Warning: The file properties have changed
Prima di eseguire un aggiornamento o prima di installare nuovo software ti consiglio di dare i seguenti comandi:
Codice: Seleziona tutto
rkhunter --update
Codice: Seleziona tutto
rkhunter --propupd
Se tali warning non sono causati da aggiornamenti nei pacchetti allora c'è qualcosa che non va.
Questi warning sono falsi positivi:
Codice: Seleziona tutto
[15:55:36] Warning: Suspicious file types found in /dev:
[15:55:36] /dev/.udev/rules.d/root.rules: ASCII text
[15:55:36] Checking for hidden files and directories [ Warning ]
[15:55:36] Warning: Hidden directory found: /etc/.java: directory
[15:55:36] Warning: Hidden directory found: /dev/.udev: directory
[15:55:36] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Codice: Seleziona tutto
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENDIR="/etc/.java"
ALLOWHIDDENFILE="/dev/.initramfs"
Codice: Seleziona tutto
sudo rkhunter -C
Codice: Seleziona tutto
sudo rkhunter -c
- printf mynick
- Prode Principiante
- Messaggi: 9
- Iscrizione: lunedì 13 luglio 2015, 20:42
- Desktop: xfce i3-wm gnome3
- Distribuzione: Archlinux freeBSD CentOS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Certo.. A meno di non usare SSH sulla 22, con accesso root e un logintime di più di un minuto
01110100 01100101 01100011 01101110 01101111 01110000 01100001 01100100 01101111 00100000 01110110 01101001 00100000 01110000 01101111 01110010 01100111 01100101 00100000 01101001 00100000 01110011 01110101 01101111 01101001 00100000 01110011 01100001 01101100 01110101 01110100 01101001
- TheBigRock
- Prode Principiante
- Messaggi: 33
- Iscrizione: venerdì 20 marzo 2015, 17:41
- Desktop: Ubuntu
- Distribuzione: Ubuntu 14.04.2 LTS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Grazie mille per le risposte, clamav si lancia con o senza sudo?? Io solitamente lo lancio da terminale senza sudo...
Comunque non uso repo esterni,soltanto una volta li ho usati per installare il tema "Mac Ubuntu" ed erano i repo della noobslab, abbastanza attendibili... poi li ho eliminati con tutto il software annesso e connesso...
Comunque non uso repo esterni,soltanto una volta li ho usati per installare il tema "Mac Ubuntu" ed erano i repo della noobslab, abbastanza attendibili... poi li ho eliminati con tutto il software annesso e connesso...
-
- Scoppiettante Seguace
- Messaggi: 432
- Iscrizione: martedì 11 maggio 2010, 17:38
- Desktop: CWM
- Distribuzione: FreeBSD 12.1
Re: Parere su "file sospetti" rkhunter
Dai un occhiata qui: http://askubuntu.com/questions/250290/h ... ith-clamav
O alla Wiki di clamav: https://github.com/vrtadmin/clamav-faq
O alla Wiki di clamav: https://github.com/vrtadmin/clamav-faq
-
- Entusiasta Emergente
- Messaggi: 1303
- Iscrizione: sabato 1 giugno 2013, 0:32
- Desktop: KDE plasma
- Distribuzione: Fedora Linux
- Sesso: Maschile
- Località: Catania
Re: Parere su "file sospetti" rkhunter
Secondo me, puoi stare tranquillo, se usi Ubuntu su Desktop e non come server, sono operazioni inutili, secondo me. Utile è installare software dai repository ufficiali o dal sito del produttore, cioè da fonti attendibili. Infatti ho letto i log e sono tutti dei "Warning" e "Not found ". Sul desktop, neanche Clamav ha senso.
- TheBigRock
- Prode Principiante
- Messaggi: 33
- Iscrizione: venerdì 20 marzo 2015, 17:41
- Desktop: Ubuntu
- Distribuzione: Ubuntu 14.04.2 LTS
- Sesso: Maschile
Re: Parere su "file sospetti" rkhunter
Ok grazie mille a tutti, adesso sono più tranquillo =)
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti