Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-08-25 17:56:25

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Rkhunter i libkeyutils.so.1.9

Dziś przeskanowałem rkhunterem dwie moje dystrybucje i na jeden wykrył jednego possible rootkits na drugiej dystrybucji dwa. Nie są to rootkity z tej list rkhunter rotkitów, tylko w logach rkhunter.log pokazuje że znalazło to.

Kod:

Warning: Checking for possible rootkit files and directories [ Warning ]
         Found file '/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component          Found file '/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/usr/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/usr/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component

Kod:

 Command: evolution-alarm
[16:24:47]            UID: 870    PID: 831
[16:24:47]            Pathname: 1062995
[16:24:47]            Possible Rootkit: Spam tool component
[16:24:47]          Command: evolution-alarm

Offline

 

#2  2019-08-25 19:16:08

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Rkhunter i libkeyutils.so.1.9

rkhunter niemal zawsze pokazuje fałszywe ostrzeżenia przez co w zasadzie jest bezużyteczny. Bez dogłębnej analizy nigdy nie wiadomo, którym (i czy w ogóle jakimś) wskazaniem należy się przejmować.

Offline

 

#3  2019-08-25 20:12:11

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: Rkhunter i libkeyutils.so.1.9

Wygląda na to, że złośliwe oprogramowanie używało tej nazwy w przeszłości. W 2013 roku istniał rootkit SSHD, który używał tej nazwy libkeyutils.
https://www.webhostingtalk.com/showthread.php?t=1235797

Offline

 

#4  2019-08-25 20:41:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rkhunter i libkeyutils.so.1.9

Rkhunter pokazuje nie fałszywe, ale potencjalne zagrożenia jako ostrzeżenia o możliwych anomaliach.

We własnym zakresie musisz ustalić, czy jakiś pakiet zainstalował tą bibliotekę, czy może wykluła się z jajka.
Zainteresuj się magicznymi poleceniami:

Kod:

dpkg -S

Kod:

debsums

np (inna biblioteka):

Kod:

# Debian ###   nie sie 25 20:37:05  localhost : / 
root ~> dpkg -S  /usr/lib/libarmadillo.so.9.600.5 
libarmadillo9: /usr/lib/libarmadillo.so.9.600.5

# Debian ###   nie sie 25 20:37:35  localhost : / 
root ~> debsums  libarmadillo9
/usr/lib/libarmadillo.so.9.600.5                                              OK
/usr/share/doc/libarmadillo9/README.md.gz                                     OK
/usr/share/doc/libarmadillo9/changelog.Debian.amd64.gz                        OK
/usr/share/doc/libarmadillo9/changelog.Debian.gz                              OK
/usr/share/doc/libarmadillo9/copyright                                        OK
/usr/share/doc/libarmadillo9/docs.html                                        OK

To by było na tyle


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2019-08-25 20:57:15

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Rkhunter i libkeyutils.so.1.9

yossarian napisał(-a):

rkhunter niemal zawsze pokazuje fałszywe ostrzeżenia przez co w zasadzie jest bezużyteczny

bo trzeba sobie go skonfigurować to raz, dwa rkhunter ma podpięte świetne narzędzie unhide, trzeba potrafić czytać logi. Twierdzenie, że to bezużyteczna apka serio? Znasz coś lepszego? chkrootkit? Raczej mniejsze możliwości ma i jest stosowany właśnie w tandemie z rkhunterem ale może o czymś nie wiem?

Ostatnio edytowany przez hi (2019-08-25 22:14:52)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#6  2019-08-25 22:37:52

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: Rkhunter i libkeyutils.so.1.9

Są jeszcze lynis, tiger, clamav i snort. Po wydaniu polecenia ls -l /usr/lib/libkeyutils.so* wszystkie daty są jednakowe to chyba jest ok.

Offline

 

#7  2019-08-26 01:18:47

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rkhunter i libkeyutils.so.1.9

xfce5 napisał(-a):

Są jeszcze lynis, tiger, clamav i snort. Po wydaniu polecenia ls -l /usr/lib/libkeyutils.so* wszystkie daty są jednakowe to chyba jest ok.

Diabli wiedzą, czy jest ok, sprawdź dwie rzeczy, które wskazałem wyżej.
Wtedy będzie pewność, skąd się to wzięło.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2019-08-26 17:16:09

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: Rkhunter i libkeyutils.so.1.9

Na Debianie sprawdziłem, a na drugiej dystrybucji Manjaro można to sprawdzić innym poleceniem?

Offline

 

#9  2019-08-26 17:36:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rkhunter i libkeyutils.so.1.9

Na jakiej dystrybucji bazuje to Manjaro?
Arch?

UTFG:
https://www.google.pl/search?&q=arch+check+file+integrity

Pierwszy link:
https://bbs.archlinux.org/viewtopic.php?id=195645

Pozdro

PS:
Na moim ulubionym systemie (Gentoo):
Podejrzany plik:

Kod:

/usr/lib/libcrypto.so.45.0.4

Co go zainstalowało:

Kod:

qfile  /usr/lib/libcrypto.so.45.0.4 
dev-libs/libressl (/usr/lib/libcrypto.so.45.0.4)

Integralność pików z paczki:

Kod:

qcheck dev-libs/libressl
Checking dev-libs/libressl-2.9.2 ...
 MD5-DIGEST: /etc/ssl/openssl.cnf
 MTIME: /etc/ssl/x509v3.cnf
 MTIME: /etc/ssl/cert.pem
  * 2959 out of 2962 files are good

Jeszcze nie widziałem w życiu Linuxa, który by nie miał dostępnej od kopa funkcji sprawdzania integralności zainstalowanych paczek.
Linux to nie jest Windows XP, żeby nie wiedział, skąd mu się biblioteki systemowe biorą.

To by było na tyle

Ostatnio edytowany przez Jacekalex (2019-08-26 17:46:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2019-08-26 18:07:52

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: Rkhunter i libkeyutils.so.1.9

Znalazłem program peccheck ale coś nie działa. To polecenie ze strony którą podałeś pacman -Qkk też nie działa.

Kod:

paccheck --sha256sum libkeyutils.so.1.9
error: could not find package 'libkeyutils.so.1.9'

paccheck --sha256sum /usr/lib/libkeyutils.so.1.9
error: could not find package '/usr/lib/libkeyutils.so.1.9'

sudo pacman -Qkk --file /usr/lib/libkeyutils.so.1.9
[sudo] hasło użytkownika xfce5: 
błąd:  nie udało się otworzyć pliku /usr/lib/libkeyutils.so.1.9: Unrecognized archive format
błąd:  nie można załadować pakietu '/usr/lib/libkeyutils.so.1.9': nie udało się otworzyć pliku pakietu

@Jacekalex a czy mógłbyś u siebie na Debianie przeskanować rkhunter i sprawdzić, czy Ci nie wyświetliło tych samych pakietów jako possible roockits?

Ostatnio edytowany przez xfce5 (2019-08-26 18:30:38)

Offline

 

#11  2019-08-26 18:26:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rkhunter i libkeyutils.so.1.9

Paccheck się używa do zainstalowanej paczki a nie plików na dyziu, identycznie jak qcheck czy debsums.
O czym program Cię grzecznie zawiadomił, co tu zacytowałeś.

Jak sprawdzić, z jakiego pakietu jest ta biblioteka?

Znowu UTFG?
https://bbs.archlinux.org/viewtopic.php?id=90635

Ostatnio edytowany przez Jacekalex (2019-08-26 18:27:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2019-08-26 18:39:34

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: Rkhunter i libkeyutils.so.1.9

Tak jak sądziłem należy do pakietu keyutils, ale dlaczego to polecenie nic mi nie pokazuje? Tak jak debsums że sumy są ok.

Kod:

sudo paccheck --sha256sum keyutils 
keyutils: all files match mtree sha256sums

Ostatnio edytowany przez xfce5 (2019-08-26 18:46:36)

Offline

 

#13  2019-08-26 19:05:18

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Rkhunter i libkeyutils.so.1.9

Mam Debiana na VPS, rkhuner różne bzdury pokazuje, ale akurat nie to.

Poza tym używam dużo solidniejszych rozwiązań, rkhunter jest na dokładkę.

Natomiast bywa bardzo pomocny w namierzeniu backdoora w w różnych Linuxach.
Nieźle pokazuje różne naprawdę podejrzane lokalizacje, które mają udawać pliki systemowe.

Ostatnio edytowany przez Jacekalex (2019-08-26 19:05:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)