rkhunter pe 8.04 server

Marian Vasile marianvasile la upcmail.ro
Mie Dec 3 11:47:26 GMT 2008 

Gabos Denes wrote:
> Eu stiam ca are semnaturi ale fisierelor de la mai multe distributii, 
> de aici si functia de --update pe care o are, pentru a-si actuliza 
> baza de date cu semnaturi. Va rog sa ma corectati daca gresesc.
>
> Deni
>
> Marian Vasile wrote:
>> Gabos Denes wrote:
>>   
>>> [14:26:04] /bin/login                                        [ Warning ]
>>> [14:26:04] Warning: The file properties have changed:
>>> [14:26:04]          File: /bin/login
>>> [14:26:04]          Current hash: 1869895965de0ebab025e5b76ccfe7ff3b53905b
>>> [14:26:04]          Stored hash : 0ba3a17f19a617036f9aa21d064109f1834eb46f
>>> [14:26:04]          Current inode: 32670    Stored inode: 32672
>>> [14:26:04]          Current file modification time: 1226559073
>>> [14:26:04]          Stored file modification time : 1207184931
>>> [14:26:04] /bin/ls                                           [ OK ]
>>> [14:26:04] /bin/lsmod                                        [ Warning ]
>>> [14:26:04] Warning: The file properties have changed:
>>> [14:26:04]          File: /bin/lsmod
>>> [14:26:04]          Current hash: be5bd1d2d0e00b4f999cacaa0e47a75db7431976
>>> [14:26:04]          Stored hash : 56f23aee856a79d9bfe663303945cf700323951b
>>> [14:26:04]          Current inode: 32672    Stored inode: 32701
>>> [14:26:04]          Current size: 3952    Stored size: 4344
>>> [14:26:05]          Current file modification time: 1223297493
>>> [14:26:05]          Stored file modification time : 1203974432
>>> [14:26:05] /bin/mktemp                                       [ OK ]
>>>
>>>
>>> Toate warningurile sunt cu hash changed.
>>> Am dat si un portscan de pe un alt server:
>>>
>>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-02 
>>> 14:08 EET
>>> Interesting ports on :
>>> Not shown: 65527 closed ports
>>> PORT      STATE SERVICE
>>> 21/tcp    open  ftp
>>> 22/tcp    open  ssh
>>> 25/tcp    open  smtp
>>> 80/tcp    open  http
>>> 2000/tcp  open  callbook
>>> 5038/tcp  open  unknown
>>> 7018/tcp  open  unknown
>>> 20013/tcp open  unknown
>>>
>>>
>>>
>>>
>>> Lucian Adrian Grijincu wrote:
>>>     
>>>> 2008/12/2 Gabos Denes <gabosdenes la gmail.com>:
>>>>   
>>>>       
>>>>> Poate fi o problema cu semnaturile din rkhunter? Cum pot sa investighez
>>>>> mai departe?
>>>>>     
>>>>>         
>>>> Uită-te prin /var/log/rkhunter.log să vezi care e cauza avertismentelor.
>>>>
>>>> Pe ubuntu 8.10 mi-a dat warninguri doar la fișierele despre care nu
>>>> avea date în baza sa de date:
>>>>
>>>> [14:12:46] Warning: The file '/usr/sbin/unhide' exists on the system,
>>>> but it is not present in the rkhunter.dat file.
>>>>
>>>>   
>>>>       
>> @Gabos Denes:  în acest caz rkhunter nu face decât să avertizeze că
>> unele fișiere au suferit schimbări (prin comparație cu baza de date pe
>> care o deține). dacă aceste schimbări sunt produse de utilizatori
>> legitimi, de activitatea normală a sistemului sau dacă sunt o indicație
>> a unei intervenții neautorizate, rămâne să stabiliți dumneavoastră,
>> programul doar evidențiază modificările atributelor fișierelor, nu știe
>> mai multe din acest punct de vedere. în nici un caz nu este vorba de
>> vreo problemă cu semnăturile din rkhunter
>>
>> spor
>>
>>
>>
>>
>>   
@Gabos Denes: actualizările programului rkhunter, când sunt disponibile, 
aduc în primul rând semnături noi ale rootkit-urilor, adică amprenta 
acelor programe cu ajutorul cărora este preluat controlul 
calculatorului. da, rkhunter are informații despre structura sistemului 
de fișiere în mai multe distribuții Linux, dar când vine vorba despre 
modificările aduse fișierelor individuale, aici lucrurile sunt mult mai 
complicate.
un rootkit este căutat în funcție de amprenta sa și în funcție de 
modificările suferite de unele fișiere de sistem. anumite rootkit-uri 
aduc niște modificări evidente în fișierele de sistem și acestea pot fi 
evidențiate de rapoarte, dar, în majoritatea cazurilor, analiza  nu 
poate fi făcută automat, deoarece ar  genera foarte multe false pozitive 
și câteva false negative (modificări  determinate de utilizatori 
legitimi sau de activitatea normală a sistemului ar fi prezentate ca 
pătrunderi în sistem; totodată, acestea nu pot fi excluse din 
notificare, deoarece un rootkit s-ar folosi de această portiță pentru a 
intra în sistem). de aici rezultă necesitatea ca utilizatorul să fie cel 
care filtrează analiza programului.
evident că dacă este găsit un rootkit  din cele cu amprenta cunoscută, 
el este arătat. însă, de cele mai multe ori scanarea ne arată doar că 
anumite fișiere au atributele schimbate.
aici intervine utilizatorul (sau, mai bine spus, experiența acestuia). 
acesta trebuie să știe dacă a adăugat utilizatori la sistem în 
intervalul de timp arătat în fișierele jurnal ale rkhunter, dacă a 
modificat ceva în structura de fișiere sau dacă schimbările apărute sunt 
urmarea firească a activității sistemului. de regulă este vorba de 
cazurile prezentate mai sus, dar autorii programului nu le-au omis, 
pentru ca rootkit-urile să nu fie introduse pe aceste căi. utilizatorul 
decide în ultimă instanță dacă e ok sau are vreo problemă neevidențiată 
de amprenta propriu-zisă a vreunui rootkit.
cam atât pe scurt despre subiect.

Mai multe informații despre lista de discuții ubuntu-ro