Rootkit Hunter: possibile file sospetto e criticità

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Rootkit Hunter: possibile file sospetto e criticità

Messaggioda domenico72 » sabato 19 gennaio 2019, 22:03

Ho sottoposto il mio Ubuntu 14.04 a scansione con Rootkit Hunter, ed ho avuto il seguente rapporto:
Codice: Seleziona tutto
System checks summary
=====================

File properties checks...
    Files checked: 136
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 292
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 54 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)


Non so come poter intervenire: eliminare il file e conoscere le criticità rilevate? dove trovo il file "rkhunter.log"? Grazie...
domenico72
Prode Principiante
 
Messaggi: 23
Iscrizione: gennaio 2019

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda DoctorStrange » sabato 19 gennaio 2019, 22:08

C'è scritto proprio nell'ultima riga: /var/log/rkhunter.log .

Per quale motivo sosprtti di avere un rootkit?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1557
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda domenico72 » sabato 19 gennaio 2019, 22:16

Non riesco ad accedere a quelle cartelle. Non sono un grande esperto, ho provato dalla home ma non esiste nessuna cartella var/log...
Ultimamente il mio sistema un pò instabile, la lucina del disco fisso si attiva come se ci fosse una scansione dei files, pur non essendo in esecuzione nessun programma, si blocca spesso. Inoltre ricevo, nell'ultima settimana, centinaia di email con il seguente oggetto "Delivery status notification". Naturalmente non so se le cose sono collegate.
domenico72
Prode Principiante
 
Messaggi: 23
Iscrizione: gennaio 2019

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda Sam9999 » sabato 19 gennaio 2019, 22:21

domenico72 Immagine ha scritto:Non riesco ad accedere a quelle cartelle. Non sono un grande esperto, ho provato dalla home ma non esiste nessuna cartella var/log...
Ultimamente il mio sistema un pò instabile, la lucina del disco fisso si attiva come se ci fosse una scansione dei files, pur non essendo in esecuzione nessun programma, si blocca spesso. Inoltre ricevo, nell'ultima settimana, centinaia di email con il seguente oggetto "Delivery status notification". Naturalmente non so se le cose sono collegate.



Qualche malware sta inviando emails dal tuo pc.. che programma usi di posta ?

Se proprio reinstalla... o anche puoi usare u cd/dvd di verifica tipo quello di avira ... aiuta di piu' in quanto partendo da cd il rootkit non si carica in memoria e quindi non offusca la sua presenza.

Delle email che ti arrivano di ritorno dovresti anche controllarne il contenuto per vedere se capisci se le invii effettivamente tu o partono da altri pc.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1530
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.04 (Disco Dingo)

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda domenico72 » sabato 19 gennaio 2019, 22:25

Uso Thunderbird. Cosa devo reinstallare? E dove trovo questo cd di verifica? grazie.
domenico72
Prode Principiante
 
Messaggi: 23
Iscrizione: gennaio 2019

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda domenico72 » sabato 19 gennaio 2019, 22:29

Premetto che gestisco un sito internet, http://www.hristos.it. E vorrei capire se il problema parte dal mio pc o se qualcuno ha iniettato un codice malevolo sul sito. Ecco un esempio di posta ricevuta:
Codice: Seleziona tutto
      This is an automatically generated Delivery Status Notification.     

Delivery to the following recipients was aborted after 26.2 hour(s):

  * lestervag@newzeroemail.com



Reporting-MTA: dns; smartcmd03.ad.aruba.it [62.149.158.11]
Received-From-MTA: dns; webxc272s03.ad.aruba.it [89.46.108.183]
Arrival-Date: Wed, 16 Jan 2019 17:16:09 +0100


Final-recipient: rfc822; lestervag@newzeroemail.com
Action: failed
Status: 5.1.1
Last-attempt-Date: Thu, 17 Jan 2019 19:26:15 +0100



Received: by webxc272s03.ad.aruba.it (Postfix, from userid 18695150)
   id 55D75548F80; Wed, 16 Jan 2019 17:06:27 +0100 (CET)
To: lestervag@newzeroemail.com
Subject: New User Details
X-PHP-Originating-Script: 18695150:class.phpmailer.php
Date: Wed, 16 Jan 2019 17:06:27 +0100
From: Hristos <d.oliveri@hristos.it>
Message-ID: <4945eb2f9b3069015613dd1b506844c9@www.hristos.it>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=aruba.it; s=a1;
   t=1547655369; bh=1jB9gbhgAjSKXnMmHHpSV6RJ78a843TkZuiKGS9D9Bc=;
   h=To:Subject:Date:From:MIME-Version:Content-Type;
   b=NiD2tL69O83/hmDgbU9Uu308e95dweqO3DoyvKCh+78rbSCMa15mMXFeh/T5cJHCn
    pDAd6Fgg8gSryQ2o6zwvyG12+jgl8hteQVdTbV2+NzfB+tTmybry6HsfqgZ/Ii+bEf
    XhZEUd7W1sIM2x6S1fDZk22jmZmT6B9pvVy4fj0qTEwolU9HQT9tS1+Z2ETEi1ehyP
    ShsNdces+lcvkaTH317t2MXW9totrn7QOkA28ye+PY2SYrFzeXiDRxmMLV1cJr8mkb
    qLi97hzMmIDWzJn+ndNInY5FY4uyVfIZkXCIi86iyKVbx/HjiYfiLCyahoimbOgQVc
    yG63kaHA0gK3A==


domenico72
Prode Principiante
 
Messaggi: 23
Iscrizione: gennaio 2019

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda axilot » sabato 19 gennaio 2019, 23:34

Io per prima cosa cambierei la password della casella di posta.
"Experience, the name men give to their mistakes" (O.Wilde)
Pc principale: Ubuntu 16.04 64Bit - Pc secondario: Xubuntu 18.04 32 Bit - Raspberry Pi: Rpi 1B+, Rpi 2, Rpi 3+, Rpi Zero W
Avatar utente
axilot
Imperturbabile Insigne
Imperturbabile Insigne
 
Messaggi: 2696
Iscrizione: luglio 2008
Distribuzione: Ubuntu 16.04 64bit

Re: Rootkit Hunter: possibile file sospetto e criticità

Messaggioda Sam9999 » domenica 20 gennaio 2019, 0:59

Premetto che gestisco un sito internet, http://www.hristos.it. E vorrei capire se il problema parte dal mio pc o se qualcuno ha iniettato un codice malevolo sul sito. Ecco un esempio di posta ricevuta:


Allora direi che non hai alcun malware sul computer ma ti fanno il solito giochino di iscriversi al sito web.. a vuoto.
Il sito web invia la richiesta di conferma iscrizione la quale torna indietro alla email amministrativa in quanto l'email è inesistente.

Se il sito web è in wordpress, posso consigliarti un paio di plugins... inoltre magari metti un captcha nel form iscrizione o altro del genere sul sito web.

vedendo il sito non trovo il form ma solo l'accesso avanti.. ma forse riescono a saltare quel form oppure è proprio quello ?

Oppure sono le prove che fanno mentre stanno creando il sito web ?

Anche non capendo come un sito web ancora in costruzione sia già indicizzato da "spammer giocherelloni"... probabilmente perché l'IP è già noto e quindi scansionato sulle vulnerabilità?
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1530
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.04 (Disco Dingo)


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 3 ospiti