Rootkit Hunter: possibile file sospetto e criticità

[domenico72]

Ho sottoposto il mio Ubuntu 14.04 a scansione con Rootkit Hunter, ed ho avuto il seguente rapporto:

Codice: Seleziona tutto

System checks summary
=====================

File properties checks...
    Files checked: 136
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 292
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 54 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Non so come poter intervenire: eliminare il file e conoscere le criticità rilevate? dove trovo il file "rkhunter.log"? Grazie...

[DoctorStrange]

C'è scritto proprio nell'ultima riga: /var/log/rkhunter.log .

Per quale motivo sosprtti di avere un rootkit?

[domenico72]

Non riesco ad accedere a quelle cartelle. Non sono un grande esperto, ho provato dalla home ma non esiste nessuna cartella var/log...
Ultimamente il mio sistema un pò instabile, la lucina del disco fisso si attiva come se ci fosse una scansione dei files, pur non essendo in esecuzione nessun programma, si blocca spesso. Inoltre ricevo, nell'ultima settimana, centinaia di email con il seguente oggetto "Delivery status notification". Naturalmente non so se le cose sono collegate.

[Sam9999]

Non riesco ad accedere a quelle cartelle. Non sono un grande esperto, ho provato dalla home ma non esiste nessuna cartella var/log...
Ultimamente il mio sistema un pò instabile, la lucina del disco fisso si attiva come se ci fosse una scansione dei files, pur non essendo in esecuzione nessun programma, si blocca spesso. Inoltre ricevo, nell'ultima settimana, centinaia di email con il seguente oggetto "Delivery status notification". Naturalmente non so se le cose sono collegate.

Qualche malware sta inviando emails dal tuo pc.. che programma usi di posta ?

Se proprio reinstalla... o anche puoi usare u cd/dvd di verifica tipo quello di avira ... aiuta di piu' in quanto partendo da cd il rootkit non si carica in memoria e quindi non offusca la sua presenza.

Delle email che ti arrivano di ritorno dovresti anche controllarne il contenuto per vedere se capisci se le invii effettivamente tu o partono da altri pc.

[domenico72]

Uso Thunderbird. Cosa devo reinstallare? E dove trovo questo cd di verifica? grazie.

[domenico72]

Premetto che gestisco un sito internet, http://www.hristos.it. E vorrei capire se il problema parte dal mio pc o se qualcuno ha iniettato un codice malevolo sul sito. Ecco un esempio di posta ricevuta:

Codice: Seleziona tutto

      This is an automatically generated Delivery Status Notification.      

Delivery to the following recipients was aborted after 26.2 hour(s):

  * lestervag@newzeroemail.com



Reporting-MTA: dns; smartcmd03.ad.aruba.it [62.149.158.11]
Received-From-MTA: dns; webxc272s03.ad.aruba.it [89.46.108.183]
Arrival-Date: Wed, 16 Jan 2019 17:16:09 +0100


Final-recipient: rfc822; lestervag@newzeroemail.com
Action: failed
Status: 5.1.1
Last-attempt-Date: Thu, 17 Jan 2019 19:26:15 +0100



Received: by webxc272s03.ad.aruba.it (Postfix, from userid 18695150)
	id 55D75548F80; Wed, 16 Jan 2019 17:06:27 +0100 (CET)
To: lestervag@newzeroemail.com
Subject: New User Details
X-PHP-Originating-Script: 18695150:class.phpmailer.php
Date: Wed, 16 Jan 2019 17:06:27 +0100
From: Hristos <d.oliveri@hristos.it>
Message-ID: <4945eb2f9b3069015613dd1b506844c9@www.hristos.it>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=aruba.it; s=a1;
	t=1547655369; bh=1jB9gbhgAjSKXnMmHHpSV6RJ78a843TkZuiKGS9D9Bc=;
	h=To:Subject:Date:From:MIME-Version:Content-Type;
	b=NiD2tL69O83/hmDgbU9Uu308e95dweqO3DoyvKCh+78rbSCMa15mMXFeh/T5cJHCn
	 pDAd6Fgg8gSryQ2o6zwvyG12+jgl8hteQVdTbV2+NzfB+tTmybry6HsfqgZ/Ii+bEf
	 XhZEUd7W1sIM2x6S1fDZk22jmZmT6B9pvVy4fj0qTEwolU9HQT9tS1+Z2ETEi1ehyP
	 ShsNdces+lcvkaTH317t2MXW9totrn7QOkA28ye+PY2SYrFzeXiDRxmMLV1cJr8mkb
	 qLi97hzMmIDWzJn+ndNInY5FY4uyVfIZkXCIi86iyKVbx/HjiYfiLCyahoimbOgQVc
	 yG63kaHA0gK3A==

[axilot]

Io per prima cosa cambierei la password della casella di posta.

[Sam9999]

Premetto che gestisco un sito internet, http://www.hristos.it. E vorrei capire se il problema parte dal mio pc o se qualcuno ha iniettato un codice malevolo sul sito. Ecco un esempio di posta ricevuta:

Allora direi che non hai alcun malware sul computer ma ti fanno il solito giochino di iscriversi al sito web.. a vuoto.
Il sito web invia la richiesta di conferma iscrizione la quale torna indietro alla email amministrativa in quanto l'email è inesistente.

Se il sito web è in wordpress, posso consigliarti un paio di plugins... inoltre magari metti un captcha nel form iscrizione o altro del genere sul sito web.

vedendo il sito non trovo il form ma solo l'accesso avanti.. ma forse riescono a saltare quel form oppure è proprio quello ?

Oppure sono le prove che fanno mentre stanno creando il sito web ?

Anche non capendo come un sito web ancora in costruzione sia già indicizzato da "spammer giocherelloni"... probabilmente perché l'IP è già noto e quindi scansionato sulle vulnerabilità?