Scansione RKhunter, trovati numerosi warning.

[gekid83]

ola! dopo aver fatto una scansione con Rkhunter sono un pò peoccupato, guardate il file log...

Codice: Seleziona tutto

----------------------------------------------------------------------------------------------------------
[02:18:42] /bin/bash                                         [ Warning ]
[02:18:42] Warning: The file properties have changed:
[02:18:42]          File: /bin/bash
[02:18:42]          Current hash: 8c74bdbb0d94f4bb162e69a87fd157e5d4c16868
[02:18:42]          Stored hash : fc22cc7f937df7042049f30744ae29c13431e4f8
[02:18:42]          Current inode: 122882    Stored inode: 122885
[02:18:42]          Current size: 702160    Stored size: 701808
[02:18:42]          Current file modification time: 1210617204
[02:18:42]          Stored file modification time : 1208230594

[02:18:43] /bin/dmesg                                        [ Warning ]
[02:18:43] Warning: The file properties have changed:
[02:18:43]          File: /bin/dmesg
[02:18:43]          Current inode: 122920    Stored inode: 122910
[02:18:43]          Current file modification time: 1209470261
[02:18:43]          Stored file modification time : 1208230606

[02:18:45] /bin/more                                         [ Warning ]
[02:18:45] Warning: The file properties have changed:
[02:18:45]          File: /bin/more
[02:18:45]          Current inode: 122926    Stored inode: 122943
[02:18:45]          Current file modification time: 1209470261
[02:18:45]          Stored file modification time : 1208230606

[02:18:45] /bin/mount                                        [ Warning ]
[02:18:45] Warning: The file properties have changed:
[02:18:45]          File: /bin/mount
[02:18:45]          Current inode: 122883    Stored inode: 122944
[02:18:45]          Current file modification time: 1209470261
[02:18:45]          Stored file modification time : 1208230606


[02:18:50] /usr/bin/logger                                   [ Warning ]
[02:18:50] Warning: The file properties have changed:
[02:18:50]          File: /usr/bin/logger
[02:18:50]          Current inode: 565272    Stored inode: 565853
[02:18:50]          Current file modification time: 1209470261
[02:18:50]          Stored file modification time : 1208230606

[02:18:53] /usr/bin/sudo                                     [ Warning ]
[02:18:53] Warning: The file properties have changed:
[02:18:53]          File: /usr/bin/sudo
[02:18:53]          Current hash: 0ed9a0d689ad891475eb13d02be7e34b4c104f6c
[02:18:53]          Stored hash : 094fe12401c97bdfeef1c11938f331fb143fe056
[02:18:53]          Current inode: 566305    Stored inode: 566257
[02:18:53]          Current size: 107872    Stored size: 107776
[02:18:53]          Current file modification time: 1210812110
[02:18:53]          Stored file modification time : 1203938573
]
[02:18:55] /usr/bin/whereis                                  [ Warning ]
[02:18:55] Warning: The file properties have changed:
[02:18:55]          File: /usr/bin/whereis
[02:18:55]          Current inode: 303267    Stored inode: 566377
[02:18:55]          Current file modification time: 1209470261
[02:18:55]          Stored file modification time : 1208230606


[02:19:54]   Checking /dev for suspicious file types         [ Warning ]
[02:19:54] Warning: Suspicious file types found in /dev:
[02:19:54]          /dev/shm/pulse-shm-2710270183: data
[02:19:55]   Checking for hidden files and directories       [ Warning ]
[02:19:55] Warning: Hidden directory found: /etc/.java
[02:19:55] Warning: Hidden directory found: /dev/.static
[02:19:55] Warning: Hidden directory found: /dev/.udev
[02:19:55] Warning: Hidden directory found: /dev/.initramfs

[02:19:56] System checks summary
[02:19:56] =====================
[02:19:56]
[02:19:56] File properties checks...
[02:19:56] Files checked: 122
[02:19:56] Suspect files: 7
[02:19:56]
[02:19:56] Rootkit checks...
[02:19:56] Rootkits checked : 109
[02:19:56] Possible rootkits: 0
[02:19:56]
[02:19:56] Applications checks...
[02:19:56] Applications checked: 3
[02:19:56] Suspect applications: 0
[02:19:56]
[02:19:56] The system checks took: 1 minute and 18 seconds
[02:19:56]
[02:19:56] Info: End date is lun giu  2 02:19:56 CEST 2008
---------------------------------------------------------------------------------------------

secondo voi cosa può essere? corro dei pericoli?

[gabo]

mi pare che i warning siano solo dei diff basati su hash... evidentemente i file cambiano e mi pare normale...

[kiroken_]

non sono eseguibili da poco ci sono stati aggiornamenti per pacchetti che li hanno coinvolti ultimamente? non credo siano pacchetti che vengano aggiornati cosi di frequente. Hai concesso i permessi di root a cose sospette?

[gekid83]

mmm ultimamente ho installato virtualbox... potrebbe dipendere da quello?

[Guiodic]

tu quando hai fatto il controllo l'ultima volta?

[gekid83]

è la prima volta da quando ho installato hardy... prima con gutsy non avevo questo problema...

[Guiodic]

E allora come è possibile che faccia un confronto con un rilevamento precedente?
Hai una home separata che hai mantenuto?

[kiroken_]

E allora come è possibile che faccia un confronto con un rilevamento precedente?
Hai una home separata che hai mantenuto?

ora non posso verificarlo ma i dati della precedente scansione penso li conservi in ambiente protetto non nella home

[salviux]

Ciao raga, ho anche io un problema, ho fatto una scansione su hardy e mi sono comparsi numerosi warning questo è l'output:



poi:

Checking the local host...

Codice: Seleziona tutto

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for local startup files                         [ Found ]
    Checking local startup files for malware                 [ None found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Not found ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

è la prima volta che faccio la scansione da quando uso hardy, dal giorno del rilascio della beta, cosa mi consigliate??? grazie...

[Guiodic]

è la prima volta che faccio la scansione da quando uso hardy, dal giorno del rilascio della beta, cosa mi consigliate??? grazie...

Nulla.

[salviux]

ah ok quindi posso dormire sonni tranquilli... grazie... 

[pierba]

@salviux: la tua firma e` esuberante: occupa cinque righe, da regolamento (sez I, art 10) ne sono consentite tre.

Dovresti impaginarla diversamente.

Per rendere piu` leggibili i post, quando posti output lunghi, sarebbe meglio usare i tag [ code ], quarto pulante # da destra sopra le faccine.

ciao

[salviux]

oh si chiedo scusa è che nn sono tanto pratico di forum... starò più attento e cambio dubito la firma... 

[[lost]-Divilinux]

  Checking /dev for suspicious file types                  [ Warning ]

se non ricordo male questo messaggio significa solo che alcuni devices di /dev hanno i permessi in lettura e scrittura. Da un punto di vista della sicurezza non e' proprio il massimo (come con /dev/raw1394 per le videocamere..che di default hanno delle regole di udev restrittive )