uso di RootkitHunter

da **vitucciocaf** » domenica 4 marzo 2012, 3:43

Salve, per curiosità ho provato ad usare Root.. e questo è il risultato, ora cosa dovrei fare?

Codice: Seleziona tutto: System checks summary ===================== File properties checks... Files checked: 136 Suspect files: 1 Rootkit checks... Rootkits checked : 242 Possible rootkits: 0 Applications checks... All checks skipped The system checks took: 2 minutes and 12 seconds All results have been written to the log file (/var/log/rkhunter.log) One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)

da **th3d3m0nl0rd** » domenica 4 marzo 2012, 17:17

Codice: Seleziona tutto: [...] All results have been written to the log file (/var/log/rkhunter.log) One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)

Mi sembra evidente, apri il file rkhunter.log, magari con

Codice: Seleziona tutto: gedit /var/log/rkhunter.log

e vedi qual'è il file che lui ritiene sospetto e quali file hanno generato un warning (per questi ultimi sospetto che siano file accessibili solo da root o simili).

Per quanto riguarda il file sospetto, in teoria dovresti eliminarlo, ma ATTENZIONE: potrebbe essere un file di sistema importante.

da **vitucciocaf** » domenica 4 marzo 2012, 18:00

ho provato con il comando che mi hai dato ma...

Codice: Seleziona tutto: Impossibile aprire il file «/var/log/rkhunter.log».

da **fortran77** » lunedì 5 marzo 2012, 2:20

Se non riesci ad aprire quel file non sarai mai in grado di interpretarne il risultato. Anche se ci riuscissi saresti comunque ben lontano dall'obbiettivo. Ti suggerisco di lasciare perdere rkhunter per il momento ed iniziare a studiare come funziona linux e il terminale.

da **th3d3m0nl0rd** » lunedì 5 marzo 2012, 13:36

vitucciocaf ha scritto:ho provato con il comando che mi hai dato ma...
Codice: Seleziona tutto
Impossibile aprire il file «/var/log/rkhunter.log».

beh, evidentemente il file non è più presente oppure tu hai avviato la scansione come root:

Codice: Seleziona tutto: sudo rkhunter -c

In questo caso devi solamente anteporre sudo al comando che ti ho postato, altrimenti esegui di nuovo rkhunter e riprova ad aprire il file.
In ogni caso puoi aggiungere un parametro che ti visualizza il file di log alla fine della scansione.

Codice: Seleziona tutto: sudo rkhunter -c --display-logfile

ma può creare più confusione che altro.

fortran77 ha scritto:Se non riesci ad aprire quel file non sarai mai in grado di interpretarne il risultato. Anche se ci riuscissi saresti comunque ben lontano dall'obbiettivo.
Ti suggerisco di lasciare perdere rkhunter per il momento ed iniziare a studiare come funziona linux e il terminale.

condivido, ma solo parzialmente.

da **vitucciocaf** » mercoledì 7 marzo 2012, 18:12

questo è ciò che ho trovato

Codice: Seleziona tutto: [02:33:10] /usr/bin/unhide.rb [ Warning ] [02:33:10] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: a /usr/bin/ruby -w script text executable

e poi

Codice: Seleziona tutto: [02:34:22] Info: Starting test name 'filesystem' [02:34:22] Performing filesystem checks [02:34:22] Info: SCAN_MODE_DEV set to 'THOROUGH' [02:34:22] Checking /dev for suspicious file types [ None found ] [02:34:22] Checking for hidden files and directories [ Warning ] [02:34:22] Warning: Hidden directory found: /etc/.java [02:34:22] Warning: Hidden directory found: /dev/.udev [02:34:22] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs' [02:35:00]

uso di RootkitHunter

uso di RootkitHunter

Re: uso di RootkitHunter

Re: uso di RootkitHunter

Re: uso di RootkitHunter

Re: uso di RootkitHunter

Re: uso di RootkitHunter

Chi c’è in linea