uso di RootkitHunter

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

uso di RootkitHunter

Messaggioda vitucciocaf » domenica 4 marzo 2012, 3:43

Salve, per curiosità ho provato ad usare Root.. e questo è il risultato, ora cosa dovrei fare?
Codice: Seleziona tutto
System checks summary
=====================

File properties checks...
    Files checked: 136
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 242
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 2 minutes and 12 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

vitucciocaf Non specificato
Prode Principiante
 
Messaggi: 80
Iscrizione: febbraio 2011
Distribuzione: Ubuntu 13.10 i686 - x86_64
Desktop: ubuntu - ubuntustudio

Re: uso di RootkitHunter

Messaggioda th3d3m0nl0rd » domenica 4 marzo 2012, 17:17

Codice: Seleziona tutto
[...]
All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)


Mi sembra evidente, apri il file rkhunter.log, magari con
Codice: Seleziona tutto
gedit /var/log/rkhunter.log

e vedi qual'è il file che lui ritiene sospetto e quali file hanno generato un warning (per questi ultimi sospetto che siano file accessibili solo da root o simili).

Per quanto riguarda il file sospetto, in teoria dovresti eliminarlo, ma ATTENZIONE: potrebbe essere un file di sistema importante.
th3d3m0nl0rd Maschile
Prode Principiante
 
Messaggi: 54
Iscrizione: maggio 2010
Distribuzione: Ubuntu 12.04.4 LTS x86_64
Desktop: Unity

Re: uso di RootkitHunter

Messaggioda vitucciocaf » domenica 4 marzo 2012, 18:00

ho provato con il comando che mi hai dato ma...
Codice: Seleziona tutto
Impossibile aprire il file «/var/log/rkhunter.log».
vitucciocaf Non specificato
Prode Principiante
 
Messaggi: 80
Iscrizione: febbraio 2011
Distribuzione: Ubuntu 13.10 i686 - x86_64
Desktop: ubuntu - ubuntustudio

Re: uso di RootkitHunter

Messaggioda fortran77 » lunedì 5 marzo 2012, 2:20

Se non riesci ad aprire quel file non sarai mai in grado di interpretarne il risultato. Anche se ci riuscissi saresti comunque ben lontano dall'obbiettivo. Ti suggerisco di lasciare perdere rkhunter per il momento ed iniziare a studiare come funziona linux e il terminale.
any man's death diminishes me, because I am involved in mankind, and therefore never send to know for whom the bell tolls; it tolls for thee.    --- John Donne
Avatar utente
fortran77 Non specificato
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1382
Iscrizione: dicembre 2007
Località: Firenze (collina)
Distribuzione: Gentoo o Xubuntu, dipende
Desktop: Xfce, iconoclasta

Re: uso di RootkitHunter

Messaggioda th3d3m0nl0rd » lunedì 5 marzo 2012, 13:36

vitucciocaf ha scritto:ho provato con il comando che mi hai dato ma...
Codice: Seleziona tutto
Impossibile aprire il file «/var/log/rkhunter.log».



beh, evidentemente il file non è più presente oppure tu hai avviato la scansione come root:
Codice: Seleziona tutto
sudo rkhunter -c

In questo caso devi solamente anteporre sudo al comando che ti ho postato, altrimenti esegui di nuovo rkhunter e riprova ad aprire il file.
In ogni caso puoi aggiungere un parametro che ti visualizza il file di log alla fine della scansione.
Codice: Seleziona tutto
sudo rkhunter -c --display-logfile

ma può creare più confusione che altro.

fortran77 ha scritto:Se non riesci ad aprire quel file non sarai mai in grado di interpretarne il risultato. Anche se ci riuscissi saresti comunque ben lontano dall'obbiettivo.
Ti suggerisco di lasciare perdere rkhunter per il momento ed iniziare a studiare come funziona linux e il terminale.

condivido, ma solo parzialmente.
th3d3m0nl0rd Maschile
Prode Principiante
 
Messaggi: 54
Iscrizione: maggio 2010
Distribuzione: Ubuntu 12.04.4 LTS x86_64
Desktop: Unity

Re: uso di RootkitHunter

Messaggioda vitucciocaf » mercoledì 7 marzo 2012, 18:12

questo è ciò che ho trovato 
Codice: Seleziona tutto
[02:33:10]   /usr/bin/unhide.rb                              [ Warning ]
[02:33:10] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: a /usr/bin/ruby -w script text executable
 

e poi 
Codice: Seleziona tutto
[02:34:22] Info: Starting test name 'filesystem'
[02:34:22] Performing filesystem checks
[02:34:22] Info: SCAN_MODE_DEV set to 'THOROUGH'
[02:34:22]   Checking /dev for suspicious file types         [ None found ]
[02:34:22]   Checking for hidden files and directories       [ Warning ]
[02:34:22] Warning: Hidden directory found: /etc/.java
[02:34:22] Warning: Hidden directory found: /dev/.udev
[02:34:22] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[02:35:00]
vitucciocaf Non specificato
Prode Principiante
 
Messaggi: 80
Iscrizione: febbraio 2011
Distribuzione: Ubuntu 13.10 i686 - x86_64
Desktop: ubuntu - ubuntustudio


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: dalca e 2 ospiti