Rkhunter i podejrzany log

[cygii]

Przeskanowalem system Rkhunterem i zobaczylem pare podejrzanych rzeczy.
Oto caly log:

Kod: Zaznacz cały

[21:58:10] /usr/sbin/unhide-linux26                          [ Warning ]
[21:58:11] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.
[22:00:33]
[22:00:33] Checking for rootkits...
[22:00:34] Info: Starting test name 'rootkits'
[22:00:34]
[22:00:34] Performing check of known rootkit files and directories
[22:00:34] Info: Starting test name 'known_rkts'
[22:00:34]
[22:00:34] Checking for 55808 Trojan - Variant A...
[22:00:35]   Checking for file '/tmp/.../r'                  [ Not found ]
[22:00:35]   Checking for file '/tmp/.../a'                  [ Not found ]


[22:07:56] Checking the local host...
[22:07:57] Info: Starting test name 'local_host'
[22:07:57]
[22:07:57] Performing system boot checks
[22:07:57] Info: Starting test name 'startup_files'
[22:07:57]   Checking for local host name                    [ Found ]
[22:07:58] Info: Starting test name 'startup_malware'
[22:07:58] Info: Found local startup file: /etc/rc.local
[22:07:59]   Checking for local startup files                [ Found ]
[22:08:00]   Checking local startup files for malware        [ None found ]
[22:08:00] Info: Found system startup directory: /etc/init.d
[22:08:13]   Checking system startup files for malware       [ None found ]
[22:08:14]
[22:08:14] Performing group and account checks
[22:08:14] Info: Starting test name 'group_accounts'
[22:08:14]   Checking for passwd file                        [ Found ]
[22:08:15] Info: Found password file: /etc/passwd
[22:08:15]   Checking for root equivalent (UID 0) accounts   [ None found ]
[22:08:16] Info: Found shadow file: /etc/shadow
[22:08:16]   Checking for passwordless accounts              [ None found ]
[22:08:17] Info: Starting test name 'passwd_changes'
[22:08:17]   Checking for passwd file changes                [ None found ]
[22:08:18] Info: Starting test name 'group_changes'
[22:08:18]   Checking for group file changes                 [ None found ]
[22:08:19]   Checking root account shell history files       [ OK ]
[22:08:19]
[22:08:19] Performing system configuration file checks
[22:08:20] Info: Starting test name 'system_configs'
[22:08:20]   Checking for SSH configuration file             [ Found ]
[22:08:21] Info: Found SSH configuration file: /etc/ssh/sshd_config
[22:08:21] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'no'.
[22:08:21] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[22:08:22]   Checking if SSH root access is allowed          [ Warning ]
[22:08:22] Warning: The SSH and rkhunter configuration options should be the same:
[22:08:23]          SSH configuration option 'PermitRootLogin': yes
[22:08:23]          Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
[22:08:23]   Checking if SSH protocol v1 is allowed          [ Not allowed ]
[22:08:24]   Checking for running syslog daemon              [ Found ]
[22:08:25]   Checking for syslog configuration file          [ Found ]
[22:08:25] Info: Found syslog configuration file: /etc/syslog.conf
[22:08:26]   Checking if syslog remote logging is allowed    [ Not allowed ]
[22:08:26]
[22:08:26] Performing filesystem checks
[22:08:27] Info: Starting test name 'filesystem'
[22:08:27] Info: SCAN_MODE_DEV set to 'THOROUGH'
[22:09:12]   Checking /dev for suspicious file types         [ Warning ]
[22:09:12] Warning: Suspicious file types found in /dev:
[22:09:13]          /dev/shm/pulse-shm-1011377495: data
[22:09:13]          /dev/shm/pulse-shm-623531232: data
[22:09:14]          /dev/shm/pulse-shm-1062337689: data
[22:09:14]          /dev/shm/pulse-shm-1729415450: data
[22:09:17]   Checking for hidden files and directories       [ None found ]
[22:13:08]
[22:13:08] Checking application versions...
[22:13:09] Info: Starting test name 'apps'
[22:13:12]   Checking version of Exim MTA                    [ OK ]
[22:13:13] Info: Application 'exim' version '4.69' found.
[22:13:13]   Checking version of GnuPG                       [ OK ]
[22:13:14] Info: Application 'gpg' version '1.4.9' found.
[22:13:14] Info: Application 'httpd' not found.
[22:13:15] Info: Application 'named' not found.
[22:13:15]   Checking version of OpenSSL                     [ OK ]
[22:13:16] Info: Application 'openssl' version '0.9.8g' found.
[22:13:16] Info: Application 'php' not found.
[22:13:17] Info: Application 'procmail' not found.
[22:13:17] Info: Application 'proftpd' not found.
[22:13:18]   Checking version of OpenSSH                     [ OK ]
[22:13:18] Info: Application 'sshd' version '5.1p1' found.
[22:13:18] Info: Applications checked: 4 out of 9
[22:13:19]
[22:13:19] System checks summary
[22:13:19] =====================
[22:13:19]
[22:13:19] File properties checks...
[22:13:20] Files checked: 127
[22:13:20] Suspect files: 2
[22:13:20]
[22:13:20] Rootkit checks...
[22:13:21] Rootkits checked : 110
[22:13:21] Possible rootkits: 0
[22:13:21]
[22:13:21] Applications checks...
[22:13:22] Applications checked: 4
[22:13:22] Suspect applications: 0
[22:13:22]
[22:13:22] The system checks took: 20 minutes and 49 seconds
[22:13:23]
[22:13:23] Info: End date is pon, 16 lut 2009, 22:13:23 CET

Mam sie niepokoic o tego loga czy nie ? 1 czesc loga wywalilem wszystko bylo ok. Za duzo bylo znakow w poscie

[vtold]

Przeskanowalem system Rkhunterem i zobaczylem pare podejrzanych rzeczy.

Tak z ciekawości, co Cię zaniepokoiło w tym logu?

[cygii]

wszystkie ostrzezenia WARNING i Found oraz koncowy wynik Suspect Files : 2
Troche jestem uczulony, takze chcialbym wiedziec czy wszystko jest OK czy nie jest

[empe]

Pierwsze ostrzeżenie dotyczy pliku unhide-linux26, rkhunter nie ma go w swojej bazie i właśnie tego dotyczy ten komunikat.
A tutaj masz trochę info na temat samego pliku: http://packages.ubuntu.com/intrepid/unhide

Następny komunikat dotyczy konfiguracji openssh

PermitRootLogin yes

Poszukaj sam w sieci, poczytaj i sam zdecyduj co zrobić ponieważ znalazłem dwie sprzeczne informacje na ten temat. Jeżeli chcesz wyłączyć logowanie roota dodaj w pliku:

Kod: Zaznacz cały

/etc/ssh/ssh_config

PermitRootLogin no

A tutaj masz info odnośnie ostatniego komunikatu:
http://ubuntuforums.org/showthread.php?p=4908163

[FoX]

witam:)
podłącze się pod temat. Po ostatnim skanowaniu rkhunter-em wyskoczyły mi dwie nowe pozycje i trochę mnie niepokoją. Czy moglibyście zerknąć czy wszystko jest ok.
niżej wybrane pozycje z loga:

log:
Warning: The file properties have changed:
[13:22:38] File: /bin/sh
[13:22:38] Current hash: 3444de811983a5fb0c0c897a14058705e80a2744
[13:22:38] Stored hash : 3877dcb9da20ec5f446202526144f488c8f07ce0

/bin/dash [ Warning ]
[13:22:40] Warning: The file properties have changed:
[13:22:40] File: /bin/dash
[13:22:40] Current hash: 3444de811983a5fb0c0c897a14058705e80a2744
[13:22:40] Stored hash : 3877dcb9da20ec5f446202526144f488c8f07ce0
[13:22:40] Current inode: 788593 Stored inode: 788440
[13:22:40] Current file modification time: 1236603790
[13:22:40] Stored file modification time : 1205320948

Performing filesystem checks
[13:26:35] Info: Starting test name 'filesystem'
[13:26:35] Info: SCAN_MODE_DEV set to 'THOROUGH'
[13:27:05] Checking /dev for suspicious file types [ Warning ]
[13:27:05] Warning: Suspicious file types found in /dev:
[13:27:05] /dev/shm/pulse-shm-369277438: data
[13:27:05] Checking for hidden files and directories [ Warning ]
[13:27:06] Warning: Hidden directory found: /etc/.java
[13:27:06] Warning: Hidden directory found: /dev/.static
[13:27:06] Warning: Hidden directory found: /dev/.udev
[13:27:06] Warning: Hidden directory found: /dev/.initramf

w ostatnim logu juz wiem o co chodzi natomiast zastanawiają mnie pozycje 1i2. Jeśli macie jakieś sugestie jak usunąć te wpisy będę wdzięczny za pomoc.

[idwtbl]

Jako, że jest to mój pierwszy post witam serdecznie Wszystkich.
Podłączę się także pod temat. Po przeskanowaniu prócz wspomnianych:/usr/sbin/unhide i /usr/sbin/unhide-linux26, otrzymuję także kilka dodatkowych ostrzeżeń i informacji. Nie wiem w jaki sposób doszło do zmian i czy są groźne dla systemu więc proszę o pomoc, oto one:

1)
Warning: The file properties have changed:
File: /usr/bin/awk
Current hash: 29d642d0b17926f529007e856eb245526d49e40a
Stored hash : 94a268339847659b92d1db861423800322805528
2)
/usr/bin/gawk [ Warning ]
Warning: The file '/usr/bin/gawk' exists on the system, but it is not present in the rkhunter.dat file.
3)
Found file '/usr/bin/groups': it is whitelisted for the 'script replacement' check.
4)
Info: Found file '/usr/bin/ldd': it is whitelisted for the 'script replacement' check.
5)
Info: Found file '/usr/bin/lwp-request': it is whitelisted for the 'script replacement' check.
6)
Info: Found file '/usr/sbin/adduser': it is whitelisted for the 'script replacement' check.
7)
Info: Starting test name 'passwd_changes'
Checking for passwd file changes [ Warning ]
Warning: Users have been added to the passwd file:
clamav:114:129::/var/lib/clamav:/bin/false

Checking for group file changes [ Warning ]
Warning: Groups have been added to the group file:
clamav :129:

i ostatni podobny jak u kolegi wcześniej:
Info: SCAN_MODE_DEV set to 'THOROUGH'
Checking /dev for suspicious file types [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/shm/pulse-shm-983749524: data
/dev/shm/pulse-shm-3387466593: data

Wyedukowałem, że nie muszę martwić się tymi z informacją "[SKIPPED]" ponieważ w systemie tych komend nie ma.
Proszę o wsparcie i wyjaśnienie co dlaczego?:pt36:

[timo]

Witam! Pozwolę sobie dołączyć do tematu - mam nadzieję, że ktoś to zauważy Również mam podejrzenia co do swojego log-u. Ostatnio miałem chyba ze 2 ostrzeżenia, a teraz dużo więcej. Zamieszczam wybrane fragmenty (jak widać, niektóre dotyczą tych samych plików, co u mojego przedmówcy):

Kod: Zaznacz cały

[21:27:53] /usr/bin/awk                                      [ Warning ]
[21:27:53] Warning: The file properties have changed:
[21:27:53]          File: /usr/bin/awk
[21:27:53]          Current hash: 76db4c14d52a83a11843c2d69ff73633b3717a90
[21:27:53]          Stored hash : 468cd61788d355d974003f3c26338cf199b5defe
[21:27:53]          Current inode: 13854    Stored inode: 4940
[21:27:53]          Current file modification time: 1267379538
[21:27:53]          Stored file modification time : 1258131057

[21:27:58] /usr/bin/ldd                                      [ Warning ]
[21:27:58] Warning: The file properties have changed:
[21:27:58]          File: /usr/bin/ldd
[21:27:59]          Current inode: 6911    Stored inode: 5501
[21:27:59]          Current file modification time: 1262524712
[21:27:59]          Stored file modification time : 1254905399
[21:27:59] Info: Found file '/usr/bin/ldd': it is whitelisted for the 'script replacement' check.

[21:28:05] /usr/bin/sudo                                     [ Warning ]
[21:28:05] Warning: The file properties have changed:
[21:28:05]          File: /usr/bin/sudo
[21:28:05]          Current hash: 8ac63a420a2fa2b359777f66a35e8c86d948108c
[21:28:05]          Stored hash : 355d1fadf50704e5c47b3072fb95f4eed83c3669
[21:28:05]          Current inode: 5690    Stored inode: 5988
[21:28:05]          Current size: 123504    Stored size: 123448
[21:28:05]          Current file modification time: 1267140126
[21:28:05]          Stored file modification time : 1245687262

[21:28:10] /usr/bin/gawk                                     [ Warning ]
[21:28:10] Warning: The file '/usr/bin/gawk' exists on the system, but it is not present in the rkhunter.dat file.

[21:28:12] /sbin/init                                        [ Warning ]
[21:28:12] Warning: The file properties have changed:
[21:28:12]          File: /sbin/init
[21:28:12]          Current inode: 55694    Stored inode: 4762
[21:28:12]          Current file modification time: 1260461982
[21:28:13]          Stored file modification time : 1255634324

[21:28:15] /sbin/runlevel                                    [ Warning ]
[21:28:15] Warning: The file properties have changed:
[21:28:15]          File: /sbin/runlevel
[21:28:15]          Current inode: 55697    Stored inode: 4843
[21:28:15]          Current file modification time: 1260461982
[21:28:15]          Stored file modification time : 1255634324

[21:28:19] /usr/sbin/rsyslogd                                [ Warning ]
[21:28:19] Warning: The file properties have changed:
[21:28:19]          File: /usr/sbin/rsyslogd
[21:28:20]          Current inode: 54135    Stored inode: 24502
[21:28:20]          Current file modification time: 1257420918
[21:28:20]          Stored file modification time : 1255580956

Bardzo proszę doświadczonych użytkowników Linuksa, którzy znają się na wnętrznościach systemu o wypowiedź, co znaczą te logi i czy mogą stanowić powód do niepokoju, a jeśli nie, to jak to zrobić, żeby rkhunter nie pokazywał ich w przyszłości, jako ostrzeżeń.

Poza tym rkhunter mi marudzi, że znalazł ukryty katalog /etc/.java (co zapewne nie jest zagrożeniem) i nieaktualne wersje exim, gpg i openssl (na co akurat nie mam zbytnio wpływu, bo nowsze wydania nie są jeszcze dostępne w repo).

[jacekalex]

U mnie log wygląda tak, a ja ciągle jeszcze żyję.
Porównaj wynik z chkrootkitem, a jak naprawdę boisz się hakerów, to zainstaluj snorta z mysql, do tego skrypt guardian.pl (przetwarza logi snorta na komendy firewalla), zainteresuj się tez używaniem, edycją i generowaniem profili apparmor (przepis masz na forum), zawsze możesz tez nałożyć na jajo łatę grsecurity, i i rozpocząć nową erę w historii Linuxa: grsecurity i pax na komputerze z xserverem, sterami nvidii, mplayerem i grami, do tego kamerami, bluetoothem i innymi bajerami.

Nie slyszałem - żeby komuś udało się kiedyś odpalić gry, czy nvidię na sterach własnościowych, pod kernelem z maksymalnym poziomem bezpieczeństwa grsecurity i paxa, więc możesz być pierwszy, i sławny, jak sobie poradzisz.

To by było na tyle.

Pozdrawiam

[timo]

Serdeczne dzięki
chkrootkit marudzi tylko na:

Kod: Zaznacz cały

Searching for suspicious files and dirs, it may take a while... 
/usr/lib/xulrunner-1.9.1.8/.autoreg /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.5/.path /usr/lib/swiftfox/.autoreg /usr/lib/jvm/.java-6-openjdk.jinfo /usr/lib/firefox-3.5.8/.autoreg

Mimo, że też jeszcze żyję , to w wolnej chwili pogooglam sobie o tych programach, o których piszesz, bo chociaż Linux sam w sobie niewątpliwie jest dużo bezpieczniejszy od Wingrozy, to nigdy nie jest tak dobrze, żeby nie mogło być lepiej (Właśnie Firestarter zaraportował uderzenie na port 22...)