[rkhunter] Xzibit Rootkit «false positive»?

0

2

Возможно боян, но все-таки. Практически обжил squeeze, репы родные. Запилил rkhunter, обновил и сразу же checkall.
Все бинарники чистые, но:

Checking for possible rootkit strings                    [ Warning ]
Checking for hidden files and directories                [ Warning ]
[01:30:44] Possible rootkits: 2
[01:30:44] Rootkit names    : Xzibit Rootkit, Xzibit Rootkit

Копаю лог.
Эти строки отнесём к «false positive», еще не настроил их игнор.

[01:30:37]   Checking for hidden files and directories       [ Warning ]
[01:30:37] Warning: Hidden directory found: /dev/.udev
[01:30:37] Warning: Hidden directory found: /dev/.initramfs

Это уже интересней, что он нашел в скриптах /etc/init.d/hdparm и /etc/init.d/.depend.boot, которые не бинарники?

[01:30:01]     Checking for string 'hdparm'                  [ Warning ]
[01:30:01] Warning: Checking for possible rootkit strings    [ Warning ]
[01:30:02]          Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
[01:30:02]          Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit

Собственно вопрос, отнести hdparm к «false positive», chkrootkit ничего не нашел.
ЗЫ. Да, да, я знаю про самописные скрипты сверки md5 сумм, просто пока чистая система решил пройтись стандартными средствами.

Ссылка

←	Debian Lenny 5.0.7 exim 4.69-9 уязвим

[Ubuntu 10.04]The file is not marked as executable.

→

>ЗЫ. Да, да, я знаю про самописные скрипты сверки md5 сумм, просто пока чистая система решил пройтись стандартными средствами.

Это хорошо что знаете. А эти самые «стандартные средства» ни на что не годятся и вызывают только паранойю у неподготовленных админов локалхоста :) Если вы уверены в чистоте системы, просто забудьте. Или напишите багрепорт.

~~freebsd-online~~
(17.12.10 09:39:57 MSK)

Ответ на: комментарий от freebsd-online 17.12.10 09:39:57 MSK

>Если вы уверены в чистоте системы, просто забудьте.

Я уверен только в том, что поставил чистый squeeze.
Ещё, на сколько смог, просмотрел эти самые скрипты, вроде ничего вызывающего.

Просто вместе с паранойей, которой я подвержен, вспомнил анекдот:
«Оказывается в лифты ссут ещё на заводе»
/ ни на что естественно не намекаю :) debian наше всио.

Umberto ★☆
(17.12.10 09:47:51 MSK) автор топика

Конфиг rkhunter'а не готов для дебиана, да. Вайтлисти скрытые файлы через ALLOWHIDDENFILE, а по поводу hdparm и xzibit пиши разработчикам этой вундервафли.

nnz ★★★★
(17.12.10 09:54:22 MSK)

Ответ на: комментарий от Umberto 17.12.10 09:47:51 MSK

Я уверен только в том, что поставил чистый squeeze.

Этого достаточно ;) Беспокойство по этому поводу излишне ;) В Дебиане ковыряются тысячи человек, посему я не верю что что-то вредоносное могло попасть в систему. Или вас напугала новость об OpenBSD? =)

~~freebsd-online~~
(17.12.10 09:56:12 MSK)

Ссылка

Ответ на: комментарий от nnz 17.12.10 09:54:22 MSK

>Конфиг rkhunter'а не готов для дебиана, да.

А также для FreeBSD, Slackware, Arch etc. Эта «вундервафля» вообще по-моему толком ничего не умеет. Хотя нет, у нее превосходно получается вгонять в ужас паранойи людей, уже несколько подобных тем по поводу rkhunter'а и chkrootkit'а вижу.

~~freebsd-online~~
(17.12.10 09:58:32 MSK)

Ответ на: комментарий от freebsd-online 17.12.10 09:39:57 MSK

rkhunter - чудо, которое ищет не понятно что и не понятно где. Какие-то строки в модулях ядра, левые файлы и прочее... Для поиска поделок детей

chkrootkit - вообще недоразумение. Сигнатурное... Полиморфизм на дворе лет 15 уже..

На сегоднящний день не существует ни одной мало мальски пригодной утилиты для поиска руткитов под юникс. Хотя этих руткитов тоже,в общем,нет. Только левые подделки типа adore. Хотя в соседней теме автора тра*нули юзермодным.

Nigol
(18.12.10 00:18:03 MSK)

Ответ на: комментарий от Nigol 18.12.10 00:18:03 MSK

Хотя этих руткитов тоже,в общем,нет. Только левые подделки типа adore.

Ну-ну. Есть и не плохо, в этом разделе с завидной периодичностью всплывают темы "~~двач~~ ЛОР, меня взломали, что делать?"

З.Ы.: На счет rkhunter и chkrootkit полностью согласен.

~~freebsd-online~~
(18.12.10 14:10:34 MSK)

Ответ на: комментарий от freebsd-online 18.12.10 14:10:34 MSK

Если брутом вскрыли пароль - это значит, что кругом ппц крутые хэккиры? Если админ поставил пароль «12345» ))))
Аналогично и с малварью под Юникс

Nigol
(18.12.10 21:05:45 MSK)

Ответ на: комментарий от Nigol 18.12.10 21:05:45 MSK

>Если брутом вскрыли пароль - это значит, что кругом ппц крутые хэккиры? Если админ поставил пароль «12345» ))))

Ежели брутфорсом вскрыли пароль, то это стыд и позор на голову админа. А если не брутфорсом, то...

~~freebsd-online~~
(18.12.10 21:37:13 MSK)

Ссылка

Ответ на: комментарий от freebsd-online 17.12.10 09:58:32 MSK

>Хотя нет, у нее превосходно получается вгонять в ужас паранойи людей, уже несколько подобных тем по поводу rkhunter'а и chkrootkit'а вижу.

Это точно. Обидно, что под Lin нет адекватного инструмента для проверки. Эти rkhunter и chkrootkit такую ересь показывают от дистрибутива к дистрибутиву...

Кстати, если не ошибаюсь, chkrootkit не обновлялся с 2007 года, потому везде видит уязвимости.

anonymous
(18.12.10 21:57:09 MSK)

Ответ на: комментарий от anonymous 18.12.10 21:57:09 MSK

>Это точно. Обидно, что под Lin нет адекватного инструмента для проверки. Эти rkhunter и chkrootkit такую ересь показывают от дистрибутива к дистрибутиву...

Снорт + нормально настроенная и вовремя обновляемая система достаточно чтобы жить спокойно :)

Кстати, если не ошибаюсь, chkrootkit не обновлялся с 2007 года, потому везде видит уязвимости.

Да, он вроде бы давно не разрабатывается. Видимо не нужен никому.

~~freebsd-online~~
(19.12.10 15:12:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian Lenny 5.0.7 exim 4.69-9 уязвим

Security

[Ubuntu 10.04]The file is not marked as executable.

→

Похожие темы