Rkhunter...

sztaasz sztaasz at gmail.com
Thu May 8 15:42:02 BST 2008 

Με βοήθεια  από το *perl vulnerability* 
http://ubuntuforums.org/archive/index.php/t-634474.html
παραφράζω αυτό που κάνω σε περίπτωση που υποπτεύομαι κατι περίεργο 
(rootkit):

1. Βλέπω για ποιο αρχείο υπάρχει προειδοποίση από τον rkhunter. (π.χ. 
/usr/bin/perl)
2. Πάω στο http://packages.ubuntu.com/ όπου και βρίσκω το συγκεκριμένο 
πακέτο που υπαρχει το αρχείο.(βάζω τη θέση και το όνομα του αρχείου στη 
μηχανή αναζήτησης του ιστότοπου για να βρώ από τί πακέτα προήλθαν τα 
αρχεία. στην περίπτωση μας perl-base)
3.κατεβάζω τα πακέτα.
4 πιστοποιώ με την εντολή md5sum (π.χ. md5sum perl-base.deb) ότι τα 
πακέτα δεν εχουν αλλάξει κατα το κατεβασμα (md5sum checks είναι 
διαθέσιμα στο ίδιο site) .
5.Αποσυμπιέζω τα αρχεία (π.χ. ar -x perl-base.deb)
6.Συγκρίνω, με την εντολή sha1sum,  το αρχείο που μόλις αποσυμπίεσα με 
αυτό που αναφέρει ο rkhunter ώς ύποπτο.
7.Αν τα sums, μεγέθη κτλ είναι ίδια για ΟΛΑ τα ύποπτα αρχεία τότε  λέω 
στον rkhunter να μην ανησυχεί πλέον αφού μόλις επιβεβαίωσα οτι το αρχείο 
είναι έγκυρο. Οπότε και εφόσον είμαi σίγουρow ότι ελέγξα ΟΛΑ τα αρχεία 
στα οποία με προειδοποίησε ο rkhunter, εκτελώ:
rkhunter --propupd

jarlaxl


O/H Tsabolov Sergey έγραψε:
>
> Δεν είναι τίποτα το παράξενο , μην ανήσυχης  .
>
> δώσε την εντολή
>
>
> sudo rkhunter --update
>
>
> sudo rkhunter --help
>
>
> O/H Stathis έγραψε:
>
>> Μόλις έβαλα την νέα έκδοση και αφού το έστησα περίπου όπως και η παλιά, 
>> έτρεξα την εντολή sudo rkhunter -c
>>
>> Αυτά που μου έβγαλε ήταν:
>>
>>  /usr/bin/sudo                                            [ Warning ]
>>
>>
>>   Performing filesystem checks
>>     Checking /dev for suspicious file types                  [ Warning ]
>>     Checking for hidden files and directories                [ Warning ]
>>
>> Τί έχουμε σε αυτή την περίπτωση;
>>
>> Ευχαριστώ,
>> Στάθης
>> -- Ubuntu-gr mailing listUbuntu-gr at lists.ubuntu.com
>> If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
>>
>>
>>   


-- 
jL enterprises. one life (?) one moment (?)

More information about the Ubuntu-gr mailing list