Rkhunter...

[Konstantinos Togias]

2008/5/8 sztaasz <sztaasz at gmail.com>:
> Με βοήθεια  από το *perl vulnerability*
>  http://ubuntuforums.org/archive/index.php/t-634474.html
>  παραφράζω αυτό που κάνω σε περίπτωση που υποπτεύομαι κατι περίεργο
>  (rootkit):
>
>  1. Βλέπω για ποιο αρχείο υπάρχει προειδοποίση από τον rkhunter. (π.χ.
>  /usr/bin/perl)
>  2. Πάω στο http://packages.ubuntu.com/ όπου και βρίσκω το συγκεκριμένο
>  πακέτο που υπαρχει το αρχείο.(βάζω τη θέση και το όνομα του αρχείου στη
>  μηχανή αναζήτησης του ιστότοπου για να βρώ από τί πακέτα προήλθαν τα
>  αρχεία. στην περίπτωση μας perl-base)
>  3.κατεβάζω τα πακέτα.
>  4 πιστοποιώ με την εντολή md5sum (π.χ. md5sum perl-base.deb) ότι τα
>  πακέτα δεν εχουν αλλάξει κατα το κατεβασμα (md5sum checks είναι
>  διαθέσιμα στο ίδιο site) .
>  5.Αποσυμπιέζω τα αρχεία (π.χ. ar -x perl-base.deb)
>  6.Συγκρίνω, με την εντολή sha1sum,  το αρχείο που μόλις αποσυμπίεσα με
>  αυτό που αναφέρει ο rkhunter ώς ύποπτο.
>  7.Αν τα sums, μεγέθη κτλ είναι ίδια για ΟΛΑ τα ύποπτα αρχεία τότε  λέω
>  στον rkhunter να μην ανησυχεί πλέον αφού μόλις επιβεβαίωσα οτι το αρχείο
>  είναι έγκυρο. Οπότε και εφόσον είμαi σίγουρow ότι ελέγξα ΟΛΑ τα αρχεία
>  στα οποία με προειδοποίησε ο rkhunter, εκτελώ:
>  rkhunter --propupd
>
>  jarlaxl
>

<Paranoid mode>
Για να είμαστε σίγουροι ότι ο hacker δεν έχει πειράξει τα ίδια τα
binary των εντολών md5sum και sha1sum έτσι ώστε να μας λένε αυτό που
θα θέλαμε να ακούσουμε και όχι αυτό που συμβαίνει στην πραγματικότητα,
η παραπάνω διαδικασία γίνεται σε άλλο υπολογιστή που είμαστε σίγουροι
ότι δεν έχει πειραχτεί (πχ. φρεσκοστημένος, χωρις serivces ή και χωρίς
δίκτυο) όπου μεταφέρουμε τα ύποπτα αρχεία ή κατά προτίμηση κάνουμε απ'
ευθείας mount το σκληρό με τα ύποπτα αρχεία (τι γίνεται αν είναι
πειραγμένο και το cp έτσι ώστε να μας δίνει το αυθεντικό αρχείο, ενώ
το αρχείο πηγή είναι το πειραγμένο;;;)
</Paranoid mode>

>
>  O/H Tsabolov Sergey έγραψε:
>
>
> >
>  > Δεν είναι τίποτα το παράξενο , μην ανήσυχης  .
>  >
>  > δώσε την εντολή
>  >
>  >
>  > sudo rkhunter --update
>  >
>  >
>  > sudo rkhunter --help
>  >
>  >
>  > O/H Stathis έγραψε:
>  >
>  >> Μόλις έβαλα την νέα έκδοση και αφού το έστησα περίπου όπως και η παλιά,
>  >> έτρεξα την εντολή sudo rkhunter -c
>  >>
>  >> Αυτά που μου έβγαλε ήταν:
>  >>
>  >>  /usr/bin/sudo                                            [ Warning ]
>  >>
>  >>
>  >>   Performing filesystem checks
>  >>     Checking /dev for suspicious file types                  [ Warning ]
>  >>     Checking for hidden files and directories                [ Warning ]
>  >>
>  >> Τί έχουμε σε αυτή την περίπτωση;
>  >>
>  >> Ευχαριστώ,
>  >> Στάθης
>  >> -- Ubuntu-gr mailing listUbuntu-gr at lists.ubuntu.com
>  >> If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
>  >>
>  >>
>  >>
>
>
>  --
>  jL enterprises. one life (?) one moment (?)
>
>
>
>  --
>  Ubuntu-gr mailing list
>
>
> Ubuntu-gr at lists.ubuntu.com
>
>  If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:
>  https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
>



-- 
Konstantinos Togias
Dipl.-Math., M.Sc.
Research Academic Computer Technology Institute