rkhunter pe 8.04 server
Marian Vasile
marianvasile la upcmail.ro
Mie Dec 3 11:47:26 GMT 2008
Gabos Denes wrote:
> Eu stiam ca are semnaturi ale fisierelor de la mai multe distributii,
> de aici si functia de --update pe care o are, pentru a-si actuliza
> baza de date cu semnaturi. Va rog sa ma corectati daca gresesc.
>
> Deni
>
> Marian Vasile wrote:
>> Gabos Denes wrote:
>>
>>> [14:26:04] /bin/login [ Warning ]
>>> [14:26:04] Warning: The file properties have changed:
>>> [14:26:04] File: /bin/login
>>> [14:26:04] Current hash: 1869895965de0ebab025e5b76ccfe7ff3b53905b
>>> [14:26:04] Stored hash : 0ba3a17f19a617036f9aa21d064109f1834eb46f
>>> [14:26:04] Current inode: 32670 Stored inode: 32672
>>> [14:26:04] Current file modification time: 1226559073
>>> [14:26:04] Stored file modification time : 1207184931
>>> [14:26:04] /bin/ls [ OK ]
>>> [14:26:04] /bin/lsmod [ Warning ]
>>> [14:26:04] Warning: The file properties have changed:
>>> [14:26:04] File: /bin/lsmod
>>> [14:26:04] Current hash: be5bd1d2d0e00b4f999cacaa0e47a75db7431976
>>> [14:26:04] Stored hash : 56f23aee856a79d9bfe663303945cf700323951b
>>> [14:26:04] Current inode: 32672 Stored inode: 32701
>>> [14:26:04] Current size: 3952 Stored size: 4344
>>> [14:26:05] Current file modification time: 1223297493
>>> [14:26:05] Stored file modification time : 1203974432
>>> [14:26:05] /bin/mktemp [ OK ]
>>>
>>>
>>> Toate warningurile sunt cu hash changed.
>>> Am dat si un portscan de pe un alt server:
>>>
>>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-02
>>> 14:08 EET
>>> Interesting ports on :
>>> Not shown: 65527 closed ports
>>> PORT STATE SERVICE
>>> 21/tcp open ftp
>>> 22/tcp open ssh
>>> 25/tcp open smtp
>>> 80/tcp open http
>>> 2000/tcp open callbook
>>> 5038/tcp open unknown
>>> 7018/tcp open unknown
>>> 20013/tcp open unknown
>>>
>>>
>>>
>>>
>>> Lucian Adrian Grijincu wrote:
>>>
>>>> 2008/12/2 Gabos Denes <gabosdenes la gmail.com>:
>>>>
>>>>
>>>>> Poate fi o problema cu semnaturile din rkhunter? Cum pot sa investighez
>>>>> mai departe?
>>>>>
>>>>>
>>>> Uită-te prin /var/log/rkhunter.log să vezi care e cauza avertismentelor.
>>>>
>>>> Pe ubuntu 8.10 mi-a dat warninguri doar la fișierele despre care nu
>>>> avea date în baza sa de date:
>>>>
>>>> [14:12:46] Warning: The file '/usr/sbin/unhide' exists on the system,
>>>> but it is not present in the rkhunter.dat file.
>>>>
>>>>
>>>>
>> @Gabos Denes: în acest caz rkhunter nu face decât să avertizeze că
>> unele fișiere au suferit schimbări (prin comparație cu baza de date pe
>> care o deține). dacă aceste schimbări sunt produse de utilizatori
>> legitimi, de activitatea normală a sistemului sau dacă sunt o indicație
>> a unei intervenții neautorizate, rămâne să stabiliți dumneavoastră,
>> programul doar evidențiază modificările atributelor fișierelor, nu știe
>> mai multe din acest punct de vedere. în nici un caz nu este vorba de
>> vreo problemă cu semnăturile din rkhunter
>>
>> spor
>>
>>
>>
>>
>>
@Gabos Denes: actualizările programului rkhunter, când sunt disponibile,
aduc în primul rând semnături noi ale rootkit-urilor, adică amprenta
acelor programe cu ajutorul cărora este preluat controlul
calculatorului. da, rkhunter are informații despre structura sistemului
de fișiere în mai multe distribuții Linux, dar când vine vorba despre
modificările aduse fișierelor individuale, aici lucrurile sunt mult mai
complicate.
un rootkit este căutat în funcție de amprenta sa și în funcție de
modificările suferite de unele fișiere de sistem. anumite rootkit-uri
aduc niște modificări evidente în fișierele de sistem și acestea pot fi
evidențiate de rapoarte, dar, în majoritatea cazurilor, analiza nu
poate fi făcută automat, deoarece ar genera foarte multe false pozitive
și câteva false negative (modificări determinate de utilizatori
legitimi sau de activitatea normală a sistemului ar fi prezentate ca
pătrunderi în sistem; totodată, acestea nu pot fi excluse din
notificare, deoarece un rootkit s-ar folosi de această portiță pentru a
intra în sistem). de aici rezultă necesitatea ca utilizatorul să fie cel
care filtrează analiza programului.
evident că dacă este găsit un rootkit din cele cu amprenta cunoscută,
el este arătat. însă, de cele mai multe ori scanarea ne arată doar că
anumite fișiere au atributele schimbate.
aici intervine utilizatorul (sau, mai bine spus, experiența acestuia).
acesta trebuie să știe dacă a adăugat utilizatori la sistem în
intervalul de timp arătat în fișierele jurnal ale rkhunter, dacă a
modificat ceva în structura de fișiere sau dacă schimbările apărute sunt
urmarea firească a activității sistemului. de regulă este vorba de
cazurile prezentate mai sus, dar autorii programului nu le-au omis,
pentru ca rootkit-urile să nu fie introduse pe aceste căi. utilizatorul
decide în ultimă instanță dacă e ok sau are vreo problemă neevidențiată
de amprenta propriu-zisă a vreunui rootkit.
cam atât pe scurt despre subiect.
Mai multe informații despre lista de discuții ubuntu-ro