[RISOLTO]Test su ubuntu 10.04 con rkhunter: risultato sospetto.-

[marsem]

Questa è la parte finale del log relativo al test eseguito. Non ho potuto postarlo per intero poichè supero i caratteri consentiti dal forum.
Mi preoccupano i due [Warning].Gli altri risultati che vedo nel mio file di log sono soprattutto  [ok];  [ Not found ] ma credo che sia tutto a posto.
voi che ne pensate?

Codice: Seleziona tutto

[08:57:08] Performing filesystem checks
[08:57:08] Info: Starting test name 'filesystem'
[08:57:08] Info: SCAN_MODE_DEV set to 'THOROUGH'
[08:57:08]   Checking /dev for suspicious file types         [ Warning ]
[08:57:09] Warning: Suspicious file types found in /dev:
[08:57:09]          /dev/shm/pulse-shm-4144634963: data
[08:57:09]          /dev/shm/pulse-shm-2164310459: data
[08:57:09]          /dev/shm/pulse-shm-2637275787: data
[08:57:09]          /dev/shm/pulse-shm-3321915608: data
[08:57:09]          /dev/shm/pulse-shm-2834737850: data
[08:57:09]          /dev/shm/pulse-shm-352395381: data
[08:57:09]          /dev/shm/pulse-shm-2125273155: data
[08:57:09]          /dev/shm/pulse-shm-1630324675: data
[08:57:09]          /dev/shm/pulse-shm-735901928: data
[08:57:09]          /dev/shm/pulse-shm-2575950795: data
[08:57:09]   Checking for hidden files and directories       [ Warning ]
[08:57:09] Warning: Hidden directory found: /etc/.java
[08:57:09] Warning: Hidden directory found: /dev/.udev
[08:57:09] Warning: Hidden directory found: /dev/.initramfs
[08:57:09]
[08:57:09] Info: Test 'apps' disabled at users request.
[08:57:09]
[08:57:09] System checks summary
[08:57:09] =====================
[08:57:09]
[08:57:09] File properties checks...
[08:57:09] Files checked: 133
[08:57:09] Suspect files: 0
[08:57:09]
[08:57:09] Rootkit checks...
[08:57:09] Rootkits checked : 242
[08:57:09] Possible rootkits: 0
[08:57:09]
[08:57:09] Applications checks...
[08:57:09] All checks skipped
[08:57:09]
[08:57:09] The system checks took: 1 minute and 22 seconds 

[steblar]

si è tutto ok ! come puoi vedere alla fine del log ti dice possible rootkits : 0 !

[marsem]

si è tutto ok ! come puoi vedere alla fine del log ti dice possible rootkits : 0 !

Quindi tutto ok, le due scritte WARNING non sono un problema!!!, spero che la parte restante del log non riporti altri problemi. Grazie di cuore....

[brigatamajella]

scusate non vorrei essere off topic ma come si fa ad eseguire il test con rkhunter io ce l'ho installato ma nn saprei dove andarlo a cercare
Grazie e scusate l'ignoranza ma uso linux da un anno e sono ancora abbastanza impedito

[marsem]

scusate non vorrei essere off topic ma come si fa ad eseguire il test con rkhunter io ce l'ho installato ma nn saprei dove andarlo a cercare
Grazie e scusate l'ignoranza ma uso linux da un anno e sono ancora abbastanza impedito

Il programma non lo troverai, non ha la parte grafica, si usa da terminale:
Prima di eseguire la scansione, è bene aggiornarlo con le ultime definizioni disponibili:

   

Codice: Seleziona tutto

sudo rkhunter --update

Una volta completato l’aggiornamento del programma con le ultime definizioni disponibili siamo pronti per eseguire una scansione del PC contro rootkit:

 

Codice: Seleziona tutto

sudo rkhunter -c

Una volta finita la scansione il programma vi avviserà se avete qualche minaccia, inoltre, scriverà un file di log in /var/log il quale potrete consultare in un secondo momento.

Se durante una scansione vi capita di ricevere diversi warning provate a eseguire

Codice: Seleziona tutto

 sudo rkhunter --propupd

Potrebbe infatti semplicemente trattarsi di alcuni servizi che sono stati aggiornati attraverso gli update di routine della propria distro e che quindi vengono rilevati come modificati, cosa verificabile ripetendo una scansione dopo avere eseguito rkhunter con l’opzione --propupd, in assenza dei warning precedentemente segnalati possiamo quindi stare tranquilli.

[brigatamajella]

Ciao
Dopo aver eseguito rkhunter e aver trovato dei warning ho riprovato con propupd e ho rifatto la scansione.
Alcuni warning sono spariti, altri sono rimasti e sono

1) Performing trojan specific checks
    Checking for enabled inetd services                      [ Warning ]

2)  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

Sai cosa sono e se sono pericolosi. La parola trojan mi inquieta alquanto.
Grazie mille

[marsem]

Ciao
Dopo aver eseguito rkhunter e aver trovato dei warning ho riprovato con propupd e ho rifatto la scansione.
Alcuni warning sono spariti, altri sono rimasti e sono

1) Performing trojan specific checks
    Checking for enabled inetd services                      [ Warning ]

2)  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

Sai cosa sono e se sono pericolosi. La parola trojan mi inquieta alquanto.
Grazie mille

Non sono molto pratico, piuttosto devi postare la parte finale del test.Qualcuno risponderà!!!

[brigatamajella]

Questa è la parte finale del test.
Dice rootkits 0 però dice anche di controllare il file rkhunter.log

System checks summary
=====================

File properties checks...
    Files checked: 134
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 242
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 0 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

bene@bene-desktop:~$

[steblar]

È tutto ok. I warning te li da perche nel sistema hai installato inetd ma non è utilizzato. Se vuoi conoscere inetd cerca su google.com è un demone interessante.