Rkhunter...

sztaasz sztaasz at gmail.com
Thu May 8 22:15:57 BST 2008 

btw μόλις ανακάλυψα  αυτό:
http://www.bigismore.com/web-server-security/using-unhide-with-rkhunter/

O/H Konstantinos Togias έγραψε:
> 2008/5/8 sztaasz <sztaasz at gmail.com>:
>   
>> Με βοήθεια  από το *perl vulnerability*
>>  http://ubuntuforums.org/archive/index.php/t-634474.html
>>  παραφράζω αυτό που κάνω σε περίπτωση που υποπτεύομαι κατι περίεργο
>>  (rootkit):
>>
>>  1. Βλέπω για ποιο αρχείο υπάρχει προειδοποίση από τον rkhunter. (π.χ.
>>  /usr/bin/perl)
>>  2. Πάω στο http://packages.ubuntu.com/ όπου και βρίσκω το συγκεκριμένο
>>  πακέτο που υπαρχει το αρχείο.(βάζω τη θέση και το όνομα του αρχείου στη
>>  μηχανή αναζήτησης του ιστότοπου για να βρώ από τί πακέτα προήλθαν τα
>>  αρχεία. στην περίπτωση μας perl-base)
>>  3.κατεβάζω τα πακέτα.
>>  4 πιστοποιώ με την εντολή md5sum (π.χ. md5sum perl-base.deb) ότι τα
>>  πακέτα δεν εχουν αλλάξει κατα το κατεβασμα (md5sum checks είναι
>>  διαθέσιμα στο ίδιο site) .
>>  5.Αποσυμπιέζω τα αρχεία (π.χ. ar -x perl-base.deb)
>>  6.Συγκρίνω, με την εντολή sha1sum,  το αρχείο που μόλις αποσυμπίεσα με
>>  αυτό που αναφέρει ο rkhunter ώς ύποπτο.
>>  7.Αν τα sums, μεγέθη κτλ είναι ίδια για ΟΛΑ τα ύποπτα αρχεία τότε  λέω
>>  στον rkhunter να μην ανησυχεί πλέον αφού μόλις επιβεβαίωσα οτι το αρχείο
>>  είναι έγκυρο. Οπότε και εφόσον είμαi σίγουρow ότι ελέγξα ΟΛΑ τα αρχεία
>>  στα οποία με προειδοποίησε ο rkhunter, εκτελώ:
>>  rkhunter --propupd
>>
>>  jarlaxl
>>
>>     
>
> <Paranoid mode>
> Για να είμαστε σίγουροι ότι ο hacker δεν έχει πειράξει τα ίδια τα
> binary των εντολών md5sum και sha1sum έτσι ώστε να μας λένε αυτό που
> θα θέλαμε να ακούσουμε και όχι αυτό που συμβαίνει στην πραγματικότητα,
> η παραπάνω διαδικασία γίνεται σε άλλο υπολογιστή που είμαστε σίγουροι
> ότι δεν έχει πειραχτεί (πχ. φρεσκοστημένος, χωρις serivces ή και χωρίς
> δίκτυο) όπου μεταφέρουμε τα ύποπτα αρχεία ή κατά προτίμηση κάνουμε απ'
> ευθείας mount το σκληρό με τα ύποπτα αρχεία (τι γίνεται αν είναι
> πειραγμένο και το cp έτσι ώστε να μας δίνει το αυθεντικό αρχείο, ενώ
> το αρχείο πηγή είναι το πειραγμένο;;;)
> </Paranoid mode>
>
>   
>>  O/H Tsabolov Sergey έγραψε:
>>
>>
>>     
>>  > Δεν είναι τίποτα το παράξενο , μην ανήσυχης  .
>>  >
>>  > δώσε την εντολή
>>  >
>>  >
>>  > sudo rkhunter --update
>>  >
>>  >
>>  > sudo rkhunter --help
>>  >
>>  >
>>  > O/H Stathis έγραψε:
>>  >
>>  >> Μόλις έβαλα την νέα έκδοση και αφού το έστησα περίπου όπως και η παλιά,
>>  >> έτρεξα την εντολή sudo rkhunter -c
>>  >>
>>  >> Αυτά που μου έβγαλε ήταν:
>>  >>
>>  >>  /usr/bin/sudo                                            [ Warning ]
>>  >>
>>  >>
>>  >>   Performing filesystem checks
>>  >>     Checking /dev for suspicious file types                  [ Warning ]
>>  >>     Checking for hidden files and directories                [ Warning ]
>>  >>
>>  >> Τί έχουμε σε αυτή την περίπτωση;
>>  >>
>>  >> Ευχαριστώ,
>>  >> Στάθης
>>  >> -- Ubuntu-gr mailing listUbuntu-gr at lists.ubuntu.com
>>  >> If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
>>  >>
>>  >>
>>  >>
>>
>>
>>  --
>>  jL enterprises. one life (?) one moment (?)
>>
>>
>>
>>  --
>>  Ubuntu-gr mailing list
>>
>>
>> Ubuntu-gr at lists.ubuntu.com
>>
>>  If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:
>>  https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
>>
>>     
>
>
>
>   


-- 
jL enterprises. one life (?) one moment (?)

More information about the Ubuntu-gr mailing list