RISOLTO - 25 Warning con Rootkit Hunter!!!!!!! COSA DEVO FARE?

[Woodward]

Premetto che sono utente di Ubuntu Hardy solo da 6 mesi.

Oggi ho finito di scaricare degli mp3 con Ktorrent, solo che quando ho copiato i file e ho tentato di aprirli mi sono usciti degli errori sui permessi perchè non potevo aprirli.
Allora sono andato sulle proprietà dei file e ho cercato di dare i permessi di lettura e scrittura ma non si aprivano. Durante tutto questo lavoro il pc mi girava in modo lentissimo ed ho iniziato a preoccuparmi. Ho tentato allora di eliminare i file ma mi diceva che non avevo i permessi (e mi sono tornati alla mente i tempi di Windows, quando un malware non si poteva cestinare).

Allora ho riavviato e il pc e sono riuscito a eliminare tutto. Tuttavia per scrupolo ho fatto alcune scansioni.
Per AVG è tutto Ok.
sudo chkrootkit è Ok
Invece con rkhunter mi ha dato  ben 25 warning. Posto ciò che mi è uscito:

Codice: Seleziona tutto

[ Rootkit Hunter version 1.3.0 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preload file                                [ Not found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
    /bin/dmesg                                               [ OK ]
    /bin/echo                                                [ OK ]
    /bin/ed                                                  [ OK ]
    /bin/egrep                                               [ OK ]
    /bin/fgrep                                               [ OK ]
    /bin/grep                                                [ OK ]
    /bin/ip                                                  [ OK ]
    /bin/kill                                                [ OK ]
    /bin/login                                               [ Warning ]
    /bin/ls                                                  [ OK ]
    /bin/lsmod                                               [ Warning ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/readlink                                            [ OK ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/su                                                  [ Warning ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/which                                               [ OK ]
    /bin/dash                                                [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/GET                                             [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ Warning ]
    /usr/bin/ldd                                             [ Warning ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mlocate                                         [ OK ]
    /usr/bin/newgrp                                          [ Warning ]
    /usr/bin/passwd                                          [ Warning ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/sudo                                            [ Warning ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/lwp-request                                     [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /sbin/depmod                                             [ Warning ]
    /sbin/ifconfig                                           [ OK ]
    /sbin/ifdown                                             [ OK ]
    /sbin/ifup                                               [ OK ]
    /sbin/init                                               [ OK ]
    /sbin/insmod                                             [ Warning ]
    /sbin/ip                                                 [ OK ]
    /sbin/lsmod                                              [ Warning ]
    /sbin/modinfo                                            [ Warning ]
    /sbin/modprobe                                           [ Warning ]
    /sbin/rmmod                                              [ Warning ]
    /sbin/runlevel                                           [ OK ]
    /sbin/sulogin                                            [ OK ]
    /sbin/sysctl                                             [ OK ]
    /sbin/syslogd                                            [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/groupadd                                       [ Warning ]
    /usr/sbin/groupdel                                       [ Warning ]
    /usr/sbin/groupmod                                       [ Warning ]
    /usr/sbin/grpck                                          [ Warning ]
    /usr/sbin/inetd                                          [ Warning ]
    /usr/sbin/nologin                                        [ Warning ]
    /usr/sbin/pwck                                           [ Warning ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ Warning ]
    /usr/sbin/userdel                                        [ Warning ]
    /usr/sbin/usermod                                        [ Warning ]
    /usr/sbin/vipw                                           [ Warning ]

[Press <ENTER> to continue]


Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    FreeBSD Rootkit                                          [ Not found ]
    f**k`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    ImperalsS-FBRK Rootkit                                   [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx Rootkit (strings)                                [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    SunOS Rootkit                                            [ Not found ]
    SunOS / NSDAP Rootkit                                    [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    X-Org SunOS Rootkit                                      [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]

  Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]

  Performing trojan specific checks
    Checking for enabled inetd services                      [ OK ]

  Performing Linux specific checks
    Checking kernel module commands                          [ OK ]
    Checking kernel module names                             [ OK ]

[Press <ENTER> to continue]


Checking the network...

  Performing check for backdoor ports
    Checking for UDP port 2001                               [ Not found ]
    Checking for TCP port 2006                               [ Not found ]
    Checking for TCP port 2128                               [ Not found ]
    Checking for TCP port 14856                              [ Not found ]
    Checking for TCP port 47107                              [ Not found ]
    Checking for TCP port 60922                              [ Not found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

[Press <ENTER> to continue]


Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for local startup files                         [ Found ]
    Checking local startup files for malware                 [ None found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Not found ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]


Checking application versions...

    Checking version of Exim MTA                             [ OK ]
    Checking version of GnuPG                                [ OK ]
    Checking version of OpenSSL                              [ OK ]


System checks summary
=====================

File properties checks...
    Files checked: 123
    Suspect files: 25

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 0

Applications checks...
    Applications checked: 3
    Suspect applications: 0

The system checks took: 4 minutes and 53 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Ho fatto anche sudo rkhunter --update ma mi dice "no update" su tutte le voci.
Sono preoccupatissimo, su questo pc ho anche l'home banking, non so che fare. Sono pronto a riformattare il pc ma se ci fosse un modo per risolvere il tutto senza formattare lo farei.

Un immenso Grazie a chi mi risponderà.

[saltydog]

Non credo ci sia da preoccuparsi.
Quei warning sono dovuti al fatto che da quando hai installato e fatto girare rootkit hunter la prima volta (durante la quale lui si è create la signature dei file di sistema), hai probabilmente aggiornato più volte applicazioni come login, module-init-tools, ecc..

Il warning ti dice che la signature del file è cambiata, ma se tu sei cosciente di averla cambiata con un aggiornamento dei pacchetti, è sufficiente che esegui questo comando:

Codice: Seleziona tutto

sudo rkhunter --propupd

[Woodward]

Io il mio hardy lo tengo sempre aggiornatissimo. Installo sempre e subito tutti gli aggiornamenti. Non sono cosciente di cosa ho cambiato con l'aggiornamento. L'unica cosa di cui sono consapevole è che durante l'apertura degli mp3 non ho mai inserito la password in nessuna occasione, e ho letto che senza la password un malware non può fare danni.

Però a questo punto mi sorge spontanea una domanda: se quando trovo degli warning non faccio altro che togliere i messaggi di warning, per un utente medio come me inconsapevole dei dettagli degli aggiornamenti fatti, Rootkit Hunter che utilità ha?

[saltydog]

rkhunter non è utile per un utente "inconsapevole"!
Se vuoi mantenere un sistema sicuro e stabile, devi sapere cosa fai...

[Woodward]

"inconsapevole" in senso buono eh! Il concetto è che quando arrivano degli aggiornamenti mi fido e installo, tanto tutti quei dettagli a me non dicono nulla. Fino ad oggi di fatto non ho mai avuto problemi! Quindi mi pare di capire che è meglio se evito di fare la ricerca con Rootkit Hunter perchè a me non serve a niente!

Grazie per la pazienza!

[saltydog]

Certo, intendevo in senso buono.
Comunque quando aggiorni, almeno dà un'occhiata a cosa stai aggiornando, così all'esecuzione di rkhunter puoi renderti meglio conto. Inoltre, il controllo sulle signature dei file è solo uno dei controlli che fa rkhunter.

[Woodward]

Ma rootkit hunter dà soltanto degli warning o a volte può proprio trovare dei rootkit specifici? Perchè in quel caso continuo a farlo non badando agli warning...

[saltydog]

Ma rootkit hunter dà soltanto degli warning o a volte può proprio trovare dei rootkit specifici? Perchè in quel caso continuo a farlo non badando agli warning...

La risposta è nel codice che hai allegato al tuo primo post.
Ma l'hai letto, o hai guardato solo i warning??

[Woodward]

Sì sì l'ho letto, è che usa termini come "Possible" e "Suspect" e mi domandavo qual'è il suo livello di affidabilità...

[fortran77]

Questi tool non sono delle panacee universali e il loro scopo non è identificare con precisione e rimuovere ogni file sospetto.
Sono semplicemente dei tool che aiutano un amministratore di sistema (che ha cognizione di quello che sta facendo) nella manutenzione dei propri sistemi. Per questo da' degli "warning", per avvertire l'amministratore di controllare, se pensa che sia il caso.

Il motivo per cui, su linux, non esistono dei tool user-friendly per la ricerca e l'eliminazione di virus, troyan, rootkit e quant'altro, è perché l'utente desktop finora è sempre stato assolutamente al sicuro da qualsiasi tipo di attacco, almeno statisticamente parlando.
Se in futuro iniziassero a presentarsi fenomeni di infezione anche su sistemi desktop, allora vedrai che verranno prontamente rilasciati programmi indirizzati all'utente comune, ma fino ad allora la sicurezza è qualcosa di cui debbano preoccuparsi solo i gestori di server e workstation complesse.
L'utente medio deve solo usare la consueta prudenza su internet e ricordarsi di effettuare costantemente gli aggiornamenti, in resto sono solo paranoie.

[Woodward]

Wow grazie, mi avete allietato la giornata!  (b2b)

[Guiodic]

come dice saltydog, rkhunter ti dà dei warning perché hai aggiornato alcuni dei file che lui controlla. Tutto qui.

Gli utenti che vengono da Windows sono assaliti dallo spavento. Ad un certo punto scoprono che non esistono virus per i sistemi Unix ma esistono i rootkit e pensano che siano più o meno la stessa cosa e infettino i computer nello stesso modo.

Be' non è così.

Per pigliarsi un rootkit o ce lo metti tu (con i privilegi di super user), oppure qualcuno deve entrare nel tuo pc e mettercelo.
Non è che navigando su internet o ascoltando un mp3 puoi prendere un rootkit.

[Woodward]

In effetti è proprio l'idea che mi ero fatto anch'io passando da Windows a Linux:
"Non ci sono i virus però ci sono i rootkit. Ma questi pazzi non usano programmi per scovarli!" Ora so che non ci sono perchè ubuntu è sicuro, e non perchè siete tutti programmatori!

W linux allora!

Grazie a tutti!!!!

[fortran77]

linux != windows