[Risolto] Rootkit Hunter mi da dei 'warning'

[bucly]

Salve a tutti,  
dalla scansione  rkhunter ha rilevato 5 files sospetti:

Codice: Seleziona tutto

[15:04:09] /bin/dmesg                                        [ Warning ]
[15:04:09] Warning: The file properties have changed:
[15:04:09]          File: /bin/dmesg
[15:04:09]          Current inode: 3145730    Stored inode: 3145762
[15:04:09]          Current file modification time: 1296636968 (02-feb-2011 09:56:08)
[15:04:09]          Stored file modification time : 1291989141 (10-dic-2010 14:52:21)
................
 [15:04:10] /bin/more                                         [ Warning ]
[15:04:10] Warning: The file properties have changed:
[15:04:10]          File: /bin/more
[15:04:10]          Current inode: 3145731    Stored inode: 3145777
[15:04:10]          Current file modification time: 1296636968 (02-feb-2011 09:56:08)
[15:04:10]          Stored file modification time : 1291989141 (10-dic-2010 14:52:21)
...................
[15:04:10] /bin/mount                                        [ Warning ]
[15:04:10] Warning: The file properties have changed:
[15:04:10]          File: /bin/mount
[15:04:10]          Current inode: 3145759    Stored inode: 3145730
[15:04:10]          Current file modification time: 1296636968 (02-feb-2011 09:56:08)
[15:04:10]          Stored file modification time : 1291989142 (10-dic-2010 14:52:22)
................ 
[15:04:12] /usr/bin/logger                                   [ Warning ]
[15:04:12] Warning: The file properties have changed:
[15:04:12]          File: /usr/bin/logger
[15:04:12]          Current inode: 9438805    Stored inode: 9437209
[15:04:12]          Current file modification time: 1296636968 (02-feb-2011 09:56:08)
[15:04:12]          Stored file modification time : 1291989142 (10-dic-2010 14:52:22)


....................
[15:04:15] /usr/bin/whereis                                  [ Warning ]
[15:04:15] Warning: The file properties have changed:
[15:04:15]          File: /usr/bin/whereis
[15:04:15]          Current inode: 9448109    Stored inode: 9438812
[15:04:15]          Current file modification time: 1296636968 (02-feb-2011 09:56:08)
[15:04:15]          Stored file modification time : 1291989142 (10-dic-2010 14:52:22)
.............

inoltre ci  sono altri warning verso la fine della scansione:

Codice: Seleziona tutto

[15:05:12] Performing filesystem checks
[15:05:12] Info: Starting test name 'filesystem'
[15:05:12] Info: SCAN_MODE_DEV set to 'THOROUGH'
[15:05:12]   Checking /dev for suspicious file types         [ Warning ]
[15:05:12] Warning: Suspicious file types found in /dev:
[15:05:12]          /dev/shm/mono-shared-1000-shared_fileshare-francop-P31-DS3L-Linux-i686-36-12-0: data
[15:05:12]          /dev/shm/mono-shared-1000-shared_data-francop-P31-DS3L-Linux-i686-312-12-0: data
[15:05:12]          /dev/shm/mono.2189: data
[15:05:12]          /dev/shm/pulse-shm-2978813864: data
[15:05:12]          /dev/shm/pulse-shm-1542477952: data
[15:05:12]          /dev/shm/pulse-shm-687299134: data
[15:05:12]          /dev/shm/pulse-shm-3749256652: data
[15:05:12]          /dev/shm/ecryptfs-francop-Private: ASCII text
[15:05:13]          /dev/shm/pulse-shm-3177709487: data
[15:05:13]   Checking for hidden files and directories       [ Warning ]
[15:05:13] Warning: Hidden directory found: /etc/.java
[15:05:13] Warning: Hidden directory found: /dev/.udev
[15:05:13] Warning: Hidden directory found: /dev/.initramfs

e poi c'è il resoconto finale:

Codice: Seleziona tutto

[15:05:16] File properties checks...
[15:05:16] Files checked: 133
[15:05:16] Suspect files: 5
[15:05:16]
[15:05:16] Rootkit checks...
[15:05:16] Rootkits checked : 245
[15:05:16] Possible rootkits: 0
[15:05:16]
[15:05:16] Applications checks...
[15:05:16] All checks skipped
[15:05:16]
[15:05:16] The system checks took: 1 minute and 10 seconds
[15:05:16]
[15:05:16] Info: End date is ven 11 feb 2011, 15.05.16, CET

Ci sta qualcuno che riesce ad interpretare tutto ciò? grazie

[crap0101]

prova a fare come dice  qua

[bucly]

Se ho capito bene (il mio inglese non è ottimo) bisogna controllare i file (programmi) le cui proprietà risultano modificate.
In che modo?
Ma sinceramente non sono riuscito a capire il perchè  questi file  hanno cambiato le proprietà . 

[fortran77]

Hai installato programmi da fonti esterne rispetto al gestore di pacchetti di ubuntu?
Gestisci un server web di qualche tipo?

No?
Leggi le FAQ please...

http://forum.ubuntu-it.org/viewtopic.php?t=223772

[bucly]

Si, ho installato F.lux prendendolo da questo sito: http://kilianvalkhof.com/2010/linux/flux-for-ubuntu/
E' un programma che avevo su windows. Avevo anche aperto una discussione sul forum per sapere se potevo fidarmi, e mi era stato risposto di 'si' da un moderatore.
Aggiungo che ho installato 'wine' per far uso di dreamweaver.
Dalla discussione che mi hai inviato leggo che non bisogna allarmarsi dei 'warning' però l'uso di wine appare piuttosto ambiguo.
In definitiva i miei warning sono allarmanti o no? 
grazie

[fortran77]

No.
Inoltre Le FAQ non sono così ambigue. Dicono palesemente che non c'è mai stato un malware che si sia propagato attraverso wine. Pensi di essere così fortunato da essere il primo?
Senza contare che con wine non prendi certo dei rootkit. Tutto il malware va installato con i permessi di amministratore. Ovvero devi mettere la password di tua spontanea volontà....
A memoria di uomo non c'è mai stato su questo forum uno che abbia mai preso un rootkit. Ti prego, se ne trovi uno fammelo notare perché sarei molto curioso.
Il malware sotto linux esiste in teoria, ma in pratica è talmente raro che potresti passare una vita intera a cercarlo senza trovarlo.

[bucly]

Va bene.
Ti ringrazio molto della tua collaborazione e ... lunga vita a Ubuntu e tutto Linux e all'open source.
ciao