Forum Debian Users Gang

xfce5 · 2019-08-25 17:56:25

Dziś przeskanowałem rkhunterem dwie moje dystrybucje i na jeden wykrył jednego possible rootkits na drugiej dystrybucji dwa. Nie są to rootkity z tej list rkhunter rotkitów, tylko w logach rkhunter.log pokazuje że znalazło to.

Kod:

Warning: Checking for possible rootkit files and directories [ Warning ]
         Found file '/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component          Found file '/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/usr/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/usr/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component

Kod:

 Command: evolution-alarm
[16:24:47]            UID: 870    PID: 831
[16:24:47]            Pathname: 1062995
[16:24:47]            Possible Rootkit: Spam tool component
[16:24:47]          Command: evolution-alarm

yossarian · 2019-08-25 19:16:08

rkhunter niemal zawsze pokazuje fałszywe ostrzeżenia przez co w zasadzie jest bezużyteczny. Bez dogłębnej analizy nigdy nie wiadomo, którym (i czy w ogóle jakimś) wskazaniem należy się przejmować.

xfce5 · 2019-08-25 20:12:11

Wygląda na to, że złośliwe oprogramowanie używało tej nazwy w przeszłości. W 2013 roku istniał rootkit SSHD, który używał tej nazwy libkeyutils.
https://www.webhostingtalk.com/showthread.php?t=1235797

Jacekalex · 2019-08-25 20:41:02

Rkhunter pokazuje nie fałszywe, ale potencjalne zagrożenia jako ostrzeżenia o możliwych anomaliach.

We własnym zakresie musisz ustalić, czy jakiś pakiet zainstalował tą bibliotekę, czy może wykluła się z jajka.
Zainteresuj się magicznymi poleceniami:

Kod:

dpkg -S

Kod:

debsums

np (inna biblioteka):

Kod:

# Debian ###   nie sie 25 20:37:05  localhost : / 
root ~> dpkg -S  /usr/lib/libarmadillo.so.9.600.5 
libarmadillo9: /usr/lib/libarmadillo.so.9.600.5

# Debian ###   nie sie 25 20:37:35  localhost : / 
root ~> debsums  libarmadillo9
/usr/lib/libarmadillo.so.9.600.5                                              OK
/usr/share/doc/libarmadillo9/README.md.gz                                     OK
/usr/share/doc/libarmadillo9/changelog.Debian.amd64.gz                        OK
/usr/share/doc/libarmadillo9/changelog.Debian.gz                              OK
/usr/share/doc/libarmadillo9/copyright                                        OK
/usr/share/doc/libarmadillo9/docs.html                                        OK

To by było na tyle

hi · 2019-08-25 20:57:15

yossarian napisał(-a):
rkhunter niemal zawsze pokazuje fałszywe ostrzeżenia przez co w zasadzie jest bezużyteczny

bo trzeba sobie go skonfigurować to raz, dwa rkhunter ma podpięte świetne narzędzie unhide, trzeba potrafić czytać logi. Twierdzenie, że to bezużyteczna apka serio? Znasz coś lepszego? chkrootkit? Raczej mniejsze możliwości ma i jest stosowany właśnie w tandemie z rkhunterem ale może o czymś nie wiem?

Ostatnio edytowany przez hi (2019-08-25 22:14:52)

xfce5 · 2019-08-25 22:37:52

Są jeszcze lynis, tiger, clamav i snort. Po wydaniu polecenia ls -l /usr/lib/libkeyutils.so* wszystkie daty są jednakowe to chyba jest ok.

Jacekalex · 2019-08-26 01:18:47

xfce5 napisał(-a):
Są jeszcze lynis, tiger, clamav i snort. Po wydaniu polecenia ls -l /usr/lib/libkeyutils.so* wszystkie daty są jednakowe to chyba jest ok.

Diabli wiedzą, czy jest ok, sprawdź dwie rzeczy, które wskazałem wyżej.
Wtedy będzie pewność, skąd się to wzięło.

xfce5 · 2019-08-26 17:16:09

Na Debianie sprawdziłem, a na drugiej dystrybucji Manjaro można to sprawdzić innym poleceniem?

Jacekalex · 2019-08-26 17:36:55

Na jakiej dystrybucji bazuje to Manjaro?
Arch?

UTFG:
https://www.google.pl/search?&q=arch+check+file+integrity

Pierwszy link:
https://bbs.archlinux.org/viewtopic.php?id=195645

Pozdro

PS:
Na moim ulubionym systemie (Gentoo):
Podejrzany plik:

Kod:

/usr/lib/libcrypto.so.45.0.4

Co go zainstalowało:

Kod:

qfile  /usr/lib/libcrypto.so.45.0.4 
dev-libs/libressl (/usr/lib/libcrypto.so.45.0.4)

Integralność pików z paczki:

Kod:

qcheck dev-libs/libressl
Checking dev-libs/libressl-2.9.2 ...
 MD5-DIGEST: /etc/ssl/openssl.cnf
 MTIME: /etc/ssl/x509v3.cnf
 MTIME: /etc/ssl/cert.pem
  * 2959 out of 2962 files are good

Jeszcze nie widziałem w życiu Linuxa, który by nie miał dostępnej od kopa funkcji sprawdzania integralności zainstalowanych paczek.
Linux to nie jest Windows XP, żeby nie wiedział, skąd mu się biblioteki systemowe biorą.

To by było na tyle

Ostatnio edytowany przez Jacekalex (2019-08-26 17:46:18)

xfce5 · 2019-08-26 18:07:52

Znalazłem program peccheck ale coś nie działa. To polecenie ze strony którą podałeś pacman -Qkk też nie działa.

Kod:

paccheck --sha256sum libkeyutils.so.1.9
error: could not find package 'libkeyutils.so.1.9'

paccheck --sha256sum /usr/lib/libkeyutils.so.1.9
error: could not find package '/usr/lib/libkeyutils.so.1.9'

sudo pacman -Qkk --file /usr/lib/libkeyutils.so.1.9
[sudo] hasło użytkownika xfce5: 
błąd:  nie udało się otworzyć pliku /usr/lib/libkeyutils.so.1.9: Unrecognized archive format
błąd:  nie można załadować pakietu '/usr/lib/libkeyutils.so.1.9': nie udało się otworzyć pliku pakietu

@Jacekalex a czy mógłbyś u siebie na Debianie przeskanować rkhunter i sprawdzić, czy Ci nie wyświetliło tych samych pakietów jako possible roockits?

Ostatnio edytowany przez xfce5 (2019-08-26 18:30:38)

Jacekalex · 2019-08-26 18:26:07

Paccheck się używa do zainstalowanej paczki a nie plików na dyziu, identycznie jak qcheck czy debsums.
O czym program Cię grzecznie zawiadomił, co tu zacytowałeś.

Jak sprawdzić, z jakiego pakietu jest ta biblioteka?

Znowu UTFG?
https://bbs.archlinux.org/viewtopic.php?id=90635

Ostatnio edytowany przez Jacekalex (2019-08-26 18:27:02)

xfce5 · 2019-08-26 18:39:34

Tak jak sądziłem należy do pakietu keyutils, ale dlaczego to polecenie nic mi nie pokazuje? Tak jak debsums że sumy są ok.

Kod:

sudo paccheck --sha256sum keyutils 
keyutils: all files match mtree sha256sums

Ostatnio edytowany przez xfce5 (2019-08-26 18:46:36)

Jacekalex · 2019-08-26 19:05:18

Mam Debiana na VPS, rkhuner różne bzdury pokazuje, ale akurat nie to.

Poza tym używam dużo solidniejszych rozwiązań, rkhunter jest na dokładkę.

Natomiast bywa bardzo pomocny w namierzeniu backdoora w w różnych Linuxach.
Nieźle pokazuje różne naprawdę podejrzane lokalizacje, które mają udawać pliki systemowe.

Ostatnio edytowany przez Jacekalex (2019-08-26 19:05:31)

Forum Debian Users Gang

Ogłoszenie

#1 2019-08-25 17:56:25

xfce5 - Użytkownik

Rkhunter i libkeyutils.so.1.9

Kod:

Kod:

#2 2019-08-25 19:16:08

yossarian - Szczawiożerca

Re: Rkhunter i libkeyutils.so.1.9

#3 2019-08-25 20:12:11

xfce5 - Użytkownik

Re: Rkhunter i libkeyutils.so.1.9

#4 2019-08-25 20:41:02

Jacekalex - Podobno człowiek...;)

Re: Rkhunter i libkeyutils.so.1.9

Kod:

Kod:

Kod:

#5 2019-08-25 20:57:15

hi - Zbanowany

Re: Rkhunter i libkeyutils.so.1.9

yossarian napisał(-a):

#6 2019-08-25 22:37:52

xfce5 - Użytkownik

Re: Rkhunter i libkeyutils.so.1.9

#7 2019-08-26 01:18:47

Jacekalex - Podobno człowiek...;)

Re: Rkhunter i libkeyutils.so.1.9

xfce5 napisał(-a):

#8 2019-08-26 17:16:09

xfce5 - Użytkownik

Re: Rkhunter i libkeyutils.so.1.9

#9 2019-08-26 17:36:55

Jacekalex - Podobno człowiek...;)

Re: Rkhunter i libkeyutils.so.1.9

Kod:

Kod:

Kod:

#10 2019-08-26 18:07:52

xfce5 - Użytkownik

Re: Rkhunter i libkeyutils.so.1.9

Kod:

#11 2019-08-26 18:26:07

Jacekalex - Podobno człowiek...;)

Re: Rkhunter i libkeyutils.so.1.9

#12 2019-08-26 18:39:34

xfce5 - Użytkownik

Re: Rkhunter i libkeyutils.so.1.9

Kod:

#13 2019-08-26 19:05:18

Jacekalex - Podobno człowiek...;)

Re: Rkhunter i libkeyutils.so.1.9

Stopka forum