Kirjoittaja Aihe: Rkhunter herjasi [Ratkaistu] (Luettu 3738 kertaa)

Mummeli · « : 26.12.08 - klo:08.35 »

Tulipa luettua jostain, ettei Linuxin tietoturva niin hyvä olisikaan. Totta vai tarua?

Joka tapauksessa päätin ajaa Rkhunterin ja tulokset tuossa:

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 122
Suspect files: 0

Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0

Applications checks...
Applications checked: 3
Suspect applications: 0

Onko syytä huolestua? Jos, niin mitä tehtävissä. Minulla on Ubuntu 8.04 LTS.

Kiitos vastauksista.

masa · « **Vastaus #1 :** 26.12.08 - klo:09.47 »

Mä en ole ikinä rkhunteria käyttänyt mutta kun se sanoo että

Lainaus

Suspect files: 0
Possible rootkits: 0
Suspect applications: 0

niin mun silmään toi näyttäis siltä ettei mitään pöpöjä löytynyt.

Ville Pöntinen · « **Vastaus #2 :** 26.12.08 - klo:09.55 »

Nuo varoitukset eivät haittaa.

Jtkone · « **Vastaus #3 :** 26.12.08 - klo:11.45 »

Lainaus käyttäjältä: Mummeli - 26.12.08 - klo:08.35

Tulipa luettua jostain, ettei Linuxin tietoturva niin hyvä olisikaan. Totta vai tarua?

Joka tapauksessa päätin ajaa Rkhunterin ja tulokset tuossa:

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 122
Suspect files: 0

Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0

Applications checks...
Applications checked: 3
Suspect applications: 0

Onko syytä huolestua? Jos, niin mitä tehtävissä. Minulla on Ubuntu 8.04 LTS.

Kiitos vastauksista.

Juu ei varmaankaan syytä huoleen.
Tuosta ensimmäisestä varoituksesta on juttua täällä http://ubuntuforums.org/showthread.php?p=4908163. Todennäköisesti sama herja.
Katso vielä logista piilotiedoston varoitus tarkemmin. Minulla se on OK.

Tietäväisimmille: miten näihin rootkit juttuihin Linuxissa pitäisi suhtautua. Todellinen vaara?

Mummeli · « **Vastaus #4 :** 26.12.08 - klo:12.32 »

Kiitos vastauksista!

Tuotapa vähän epäilinkin, ettei huolta. Vaan kun tuo tiedontaso ei kummoinen ole, niin halusin varmistaa.

Matzi · « **Vastaus #5 :** 26.12.08 - klo:12.41 »

Olen itse myös alkanut uskomaan siihen, ettei linux ole aivan niin turvallinen, kuin sanotaan. Olen säännöllisesti ajannut rkhunteria vuoden ajan, ja aluksi tuli samat varoitukset kuin mummelilla. Nykyisin, kun rkhunterin ajaa, niin punaisia warning-ilmoituksia vilkkuu kuin koristeltu joulukuusi. Samoin clamav- virus ohjelma löytää viruksia, joita ei saa pois millään. esim. gdm.virus, cache.virus jne. Selvennyksenä vielä rkhunteriin, niin päivitysten tullessa, varoitukset lisääntyvät. Ottaapa siitä sitten selvää, mikä varoitus on aiheellinen, ja mikä ei. Mutta jouluna kaikilla on hyvä..........

t.matti

Jtkone · « **Vastaus #6 :** 26.12.08 - klo:14.07 »

Lainaus käyttäjältä: Matzi - 26.12.08 - klo:12.41

Olen itse myös alkanut uskomaan siihen, ettei linux ole aivan niin turvallinen, kuin sanotaan. Olen säännöllisesti ajannut rkhunteria vuoden ajan, ja aluksi tuli samat varoitukset kuin mummelilla. Nykyisin, kun rkhunterin ajaa, niin punaisia warning-ilmoituksia vilkkuu kuin koristeltu joulukuusi. Samoin clamav- virus ohjelma löytää viruksia, joita ei saa pois millään. esim. gdm.virus, cache.virus jne. Selvennyksenä vielä rkhunteriin, niin päivitysten tullessa, varoitukset lisääntyvät. Ottaapa siitä sitten selvää, mikä varoitus on aiheellinen, ja mikä ei. Mutta jouluna kaikilla on hyvä..........
t.matti

Kyllä myös linux puolella on hyvä pitää perus tietoturva-asiat mielessä. Vaikka joulun aikaa eletään niin mites olet suhtautunut noihin rkhunterin jouluvaloihin? Yrittänyt selvittää mitä ne on? Google on tässäkin asiassa hyvä lähtökohta. Pistä tietoa tänne; pelkkä heitto ja olankohautus ei auta ketään.
Eikös clamav ole enemmän tarkoitettu unix sähköpostipalvelimille (liitetiedosto pöpöt). Ainakin tuo gdm on väärähälytys (älä siis poista gnome display manageria) tai sitten koneellesi on ehkä pesiytynyt Ubuntu Suomen moderaattori gdm

Vaikka nuo tietokone pöpöt tuskin välittävät joulurauhasta niin silti kaikille hyvää Tapania.
PS. pakollinen linkki on tässä:http://en.wikipedia.org/wiki/List_of_Linux_computer_viruses

Matzi · « **Vastaus #7 :** 26.12.08 - klo:18.02 »

No niin, tässä alla on niitä hälytyksiä, joita rkhunter antaa. Olen poistanut välistä kohdat, jotka näyttävät ok. Minua ihmetyttää suuresti se, etteikö muilla tule näitä varoituksia, vai eikö kukaan muu käytä rkhunteria, eli jos käyttävät, niin silloin näissä on jotain mälsää.
Virushälytyksistä (gdm.viruksista panen tietoa myöhemmin, jahka ehdin, ellei goddamndevil tunnusta

)
t.matti
[11:06:47] Warning: The file properties have changed:
[11:06:47] File: /bin/login
[11:06:48] Current hash: 8178c65c60189ec478f6e2ea526e4e563000790d
[11:06:48] Stored hash : b711f2c71b265be6e84b75cc4ccd20d37e396b92
[11:06:48] Current inode: 245811 Stored inode: 245764
[11:06:48] Current file modification time: 1228727845
[11:06:48] Stored file modification time : 1226559294
[11:06:49] /bin/su [ Warning ]
[11:06:49] Warning: The file properties have changed:
[11:06:49] File: /bin/su
[11:06:49] Current inode: 245814 Stored inode: 245791
[11:06:49] Current file modification time: 1228727845
[11:06:49] Stored file modification time : 1226559294
[11:06:51] /usr/bin/lastlog [ Warning ]
[11:06:51] Warning: The file properties have changed:
[11:06:51] File: /usr/bin/lastlog
[11:06:51] Current inode: 682489 Stored inode: 434187
[11:06:51] Current file modification time: 1228727845
[11:06:51] Stored file modification time : 1226559294
[11:06:52] /usr/bin/newgrp [ Warning ]
[11:06:52] Warning: The file properties have changed:
[11:06:52] File: /usr/bin/newgrp
[11:06:52] Current inode: 682491 Stored inode: 434188
[11:06:52] Current file modification time: 1228727845
[11:06:52] Stored file modification time : 1226559294
[11:06:52] /usr/bin/passwd [ Warning ]
[11:06:52] Warning: The file properties have changed:
[11:06:52] File: /usr/bin/passwd
[11:06:52] Current inode: 683250 Stored inode: 680535
[11:06:52] Current file modification time: 1228727843
[11:06:52] Stored file modification time : 1226559291
[11:06:52] /usr/bin/perl [ Warning ]
[11:06:52] Warning: The file properties have changed:
[11:06:52] File: /usr/bin/perl
[11:06:52] Current hash: 6d1d430fd4d77b4f5f6ce4293354407973be88f7
[11:06:52] Stored hash : efb4a1a3d02798718b7f2bbfea6787dd0de79968
[11:06:52] Current inode: 680094 Stored inode: 680753
[11:06:52] Current file modification time: 1230000637
[11:06:52] Stored file modification time : 1216891204
[11:06:57] /usr/sbin/groupadd [ Warning ]
[11:06:57] Warning: The file properties have changed:
[11:06:57] File: /usr/sbin/groupadd
[11:06:57] Current inode: 683254 Stored inode: 680679
[11:06:57] Current file modification time: 1228727843
[11:06:57] Stored file modification time : 1226559291
[11:06:57] /usr/sbin/groupdel [ Warning ]
[11:06:57] Warning: The file properties have changed:
[11:06:57] File: /usr/sbin/groupdel
[11:06:57] Current inode: 683255 Stored inode: 680967
[11:06:57] Current file modification time: 1228727843
[11:06:57] Stored file modification time : 1226559291
[11:06:57] /usr/sbin/groupmod [ Warning ]
[11:06:57] Warning: The file properties have changed:
[11:06:57] File: /usr/sbin/groupmod
[11:06:57] Current inode: 683256 Stored inode: 681699
[11:06:57] Current file modification time: 1228727843
[11:06:57] Stored file modification time : 1226559291
[11:06:57] /usr/sbin/grpck [ Warning ]
[11:06:57] Warning: The file properties have changed:
[11:06:57] File: /usr/sbin/grpck
[11:06:57] Current inode: 683257 Stored inode: 681720
[11:06:57] Current file modification time: 1228727843
[11:06:57] Stored file modification time : 1226559291
[11:06:58] /usr/sbin/nologin [ Warning ]
[11:06:58] Warning: The file properties have changed:
[11:06:58] File: /usr/sbin/nologin
[11:06:58] Current inode: 682241 Stored inode: 475151
[11:06:58] Current file modification time: 1228727845
[11:06:58] Stored file modification time : 1226559294
[11:06:58] /usr/sbin/pwck [ Warning ]
[11:06:58] Warning: The file properties have changed:
[11:06:58] File: /usr/sbin/pwck
[11:06:58] Current inode: 683486 Stored inode: 682538
[11:06:58] Current file modification time: 1228727843
[11:06:58] Stored file modification time : 1226559291
[11:06:58] /usr/sbin/tcpd [ OK ]
[11:06:58] /usr/sbin/unhide [ OK ]
[11:06:58] /usr/sbin/useradd [ Warning ]
[11:06:58] Warning: The file properties have changed:
[11:06:58] File: /usr/sbin/useradd
[11:06:58] Current inode: 683489 Stored inode: 682632
[11:06:58] Current file modification time: 1228727843
[11:06:58] Stored file modification time : 1226559291
[11:06:58] /usr/sbin/userdel [ Warning ]
[11:06:59] Warning: The file properties have changed:
[11:06:59] File: /usr/sbin/userdel
[11:06:59] Current inode: 683490 Stored inode: 682634
[11:06:59] Current file modification time: 1228727843
[11:06:59] Stored file modification time : 1226559291
[11:06:59] /usr/sbin/usermod [ Warning ]
[11:06:59] Warning: The file properties have changed:
[11:06:59] File: /usr/sbin/usermod
[11:06:59] Current inode: 683491 Stored inode: 682635
[11:06:59] Current file modification time: 1228727843
[11:06:59] Stored file modification time : 1226559291
[11:06:59] /usr/sbin/vipw [ Warning ]
[11:06:59] Warning: The file properties have changed:
[11:06:59] File: /usr/sbin/vipw
[11:06:59] Current inode: 683492 Stored inode: 682647
[11:06:59] Current file modification time: 1228727843
[11:06:59] Stored file modification time : 1226559291
[11:06:59] /usr/sbin/unhide-linux26 [ OK ]
[11:07:22] System checks summary
[11:07:22] =====================
[11:07:22]
[11:07:22] File properties checks...
[11:07:22] Files checked: 127
[11:07:22] Suspect files: 16
[11:07:22]
[11:07:22] Rootkit checks...
[11:07:22] Rootkits checked : 109
[11:07:22] Possible rootkits: 0
[11:07:22]
[11:07:22] Applications checks...
[11:07:22] Applications checked: 3
[11:07:22] Suspect applications: 0
[11:07:22]
[11:07:22] The system checks took: 38 seconds
[11:07:22]
[11:07:22] Info: End date is Fri Dec 26 11:07:22 EET 2008

gdm · « **Vastaus #8 :** 26.12.08 - klo:18.13 »

Lainaus käyttäjältä: Matzi - 26.12.08 - klo:18.02

No niin, tässä alla on niitä hälytyksiä, joita rkhunter antaa. Olen poistanut välistä kohdat, jotka näyttävät ok. Minua ihmetyttää suuresti se, etteikö muilla tule näitä varoituksia, vai eikö kukaan muu käytä rkhunteria, eli jos käyttävät, niin silloin näissä on jotain mälsää.
Virushälytyksistä (gdm.viruksista panen tietoa myöhemmin, jahka ehdin, ellei goddamndevil tunnusta )
t.matti
[11:06:47] Warning: The file properties have changed:
[11:06:47] File: /bin/login
[11:06:48] Current hash: 8178c65c60189ec478f6e2ea526e4e563000790d
[11:06:48] Stored hash : b711f2c71b265be6e84b75cc4ccd20d37e396b92
[11:06:48] Current inode: 245811 Stored inode: 245764
[11:06:48] Current file modification time: 1228727845
[11:06:48] Stored file modification time : 1226559294
[11:06:49] /bin/su [ Warning ]
[11:06:49] Warning: The file properties have changed:
[11:06:49] File: /bin/su
[11:06:49] Current inode: 245814 Stored inode: 245791
[11:06:49] Current file modification time: 1228727845
[11:06:49] Stored file modification time : 1226559294
.
.
.
[11:07:22] File properties checks...
[11:07:22] Files checked: 127
[11:07:22] Suspect files: 16
[11:07:22]
[11:07:22] Rootkit checks...
[11:07:22] Rootkits checked : 109
[11:07:22] Possible rootkits: 0
[11:07:22]
[11:07:22] Applications checks...
[11:07:22] Applications checked: 3
[11:07:22] Suspect applications: 0
[11:07:22]
[11:07:22] The system checks took: 38 seconds
[11:07:22]
[11:07:22] Info: End date is Fri Dec 26 11:07:22 EET 2008

En tunnusta

Mutta nuo virhe-ilmoitukset johtuvat siitä että sovellus on päivittynyt.
Jonka johdosta sen HASH-summa on muuttunut. Tarkista seuraavien päivtysten yhteydessä uudelleen ja huomaat kuinka herjaa uudestaan..

Timo Virtanen · « **Vastaus #9 :** 26.12.08 - klo:18.55 »

RKhunter on hyvä ohjelma ja sitä kannattaa ajaa aina silloin tällöin, varmuuden vuoksi. Ohjelman antamat herjat voi käydä tarkastamassa netissä esim "/usr/sbin/usermod rkhunter" guugkelihaulla. RKhunterilla on postituslista "rkhunter-users" ja sieltä löytyy vastaus moneen kysymykseen. Yleensä kyseessä ovat väärät hälytykset.
Jos joku haluaa tietää enemmän itse rootkit-ohjelmista, netistä löytyy englanninkielistä ja suomenkielistä aineistoa iltapuhteen ratoksi. Miten itse rootkit toimii? Tässä klassinen esimerkki vuodelta 2005 http://www.swbusiness.fi/portal/31/?id=8145
terveisin Timo

Matzi · « **Vastaus #10 :** 26.12.08 - klo:19.40 »

Lainaus käyttäjältä: gdm - 26.12.08 - klo:18.13

Mutta nuo virhe-ilmoitukset johtuvat siitä että sovellus on päivittynyt.
Jonka johdosta sen HASH-summa on muuttunut. Tarkista seuraavien päivtysten yhteydessä uudelleen ja huomaat kuinka herjaa uudestaan..

Se vaan ei mahdu minun kalloon, että jos päivitys tulee, niin miksi se vaikuttaa mm esim. näihin: /bin/su, /usr/bin/passwd. Luulisi, että jos vaihdan salasanan, niin se vaikuttaisi näihin, mutta vaikka sen olen tehnyt, niin rkhunter ei ole antanut mitään varoitusta. Toinen seikka, tuleeko näitä muille? No, ei minun kalloon mahdu moni muukaan asia, joten asia on ok.

Lainaus käyttäjältä: gdm - 26.12.08 - klo:18.13

En tunnusta

Olisin odottanut, että olisit tunnustanu, niin olisi yksi murhe vähempänä

, mutta panen tästä toisaalle enemmän tietoa, kun saan aikaiseksi.

Kiitoksia molemmille gdm ja Timo
t.matti

Ubuntu Suomen keskustelualueet

Uutiset:

Kirjoittaja Aihe: Rkhunter herjasi [Ratkaistu] (Luettu 3738 kertaa)

Mummeli

Rkhunter herjasi [Ratkaistu]

masa

Vs: Rkhunter herjasi

Ville Pöntinen

Vs: Rkhunter herjasi

Jtkone

Vs: Rkhunter herjasi

Mummeli

Vs: Rkhunter herjasi

Matzi

Vs: Rkhunter herjasi

Jtkone

Vs: Rkhunter herjasi

Matzi

Vs: Rkhunter herjasi [Ratkaistu]

gdm

Vs: Rkhunter herjasi [Ratkaistu]

Timo Virtanen

Vs: Rkhunter herjasi [Ratkaistu]

Matzi

Vs: Rkhunter herjasi [Ratkaistu]