Rootkits unter neuer openSuse Leap 15.1 Installation?

Hinweis: In dem Thema Rootkits unter neuer openSuse Leap 15.1 Installation? gibt es 21 Antworten auf 3 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    Hallo zusammen,
    ich habe vor kurzem auf meinem neuen PC openSUSE Leap 15.1 installiert. Anfangs konnte ich das System nicht hochfahren, da der Bildschirm immer schwarz wurde und Streifen bekam (eventuell wegen beschädigtem USB Medium).
    Das System hat sich dann aber nach 1-2 Tagen scheinbar selbst repariert?!


    Zur Sicherheit habe ich mir von dem System aus die ISO nochmal neu gezogen und auch die Checksumme geprüft und alles neu installiert. Das System lief dann auch ohne Probleme.


    Anschließend habe ich mir zur Steigerung der Sicherheit noch Logwatch, Lynis und zuletzt rkhunter aus den offiziellen Repos runtergeladen (war Zwischendurch auch niergendswo im Internet unterwegs und habe auch keine USB Sticks oder sonstiges angeschlossen). Nach dem runterladen von rkhunter ist mir das Betriebssystem auch zum ersten mal eingefroren (eben beim Verfassen des Beitrags wieder, schreibe alles daher gerade zum 2. mal).


    Rkhunter zeigt mir nach dem Update, und –propupd und dem anschließenden Check dann 4 potenzielle Rootkits an (beim ersten Check nur einer, kurz darauf zwei). Außerdem noch drei Warnings.


    Lynis zeigt mir beim Systemaudit auch diverse Warnings an, bei denen ich nicht weiß, ob das irgendwie zusammen hängen kann.


    Jetzt stellen sich für mich folgende Fragen:
    1. Sind das Tatsächlich Rootkits und wenn nein, wie verhindere ich das diese Falschmeldungen entstehen?
    2. Wie bekomme ich die Warnings weiter reduziert bei rkhunter und Lynis (vor allem die vielen bei Lynis unter „System Tools“).
    3. Warum friert das Betriebssystem ein? Liegt das echt an rkhunter? Weil an der Leistung meines PCs kann es nicht liegen.


    Vielen Dank im Voraus für eure Hilfe und eure Geduld!


    PS: Die Scanergebnisse kann ich scheinbar nicht einstellen, da mir das Forum sagt das diese über 10000 Zeichen sind?!?

    2 Mal editiert, zuletzt von Kronos ()

    Für den Inhalt des Beitrages 138107 haftet ausdrücklich der jeweilige Autor: Kronos

    Ich weiß nicht, ob das wirklich relevant ist, solange nicht explizit Rootkits aufgezählt werden, mit denen eine Infektion stattgefunden hat.
    Hab das Programm auch mal über mein System laufen lassen, mit ähnlichem Ergebnis.


    Ich würde mir da jetzt nicht allzu große Sorgen machen.



    Beste Grüße,
    Stephan

    Für den Inhalt des Beitrages 138110 haftet ausdrücklich der jeweilige Autor: Forentroll

    Schau mal @Kronos
    Du hattest geschrieben, dass du gerade neu von Windows auf Linux umgestiegen bist.
    Was du nun lernen bzw. ablegen musst, ist die Windows-Denkweise.
    Du hast das ISO-File (von der offiziellen Seite) heruntergeladen und auch getestet (was sehr gut ist).
    Somit ist alles ok.
    Wie @Forentroll schon schrieb, musst du dir keine Gedanken machen.
    Schau dir mal Man-Pages der Software an und du wirst sehen, dass einige Warnungen / Hinweise sich leider nicht vermeiden lassen.
    Wenn etwas Zeit vergangen ist und du dich besser mit Linux auskennst, wirst du solche "Warnungen" nur noch müde belächeln :)
    Linux ist nicht Windows.

    Zitat von Kronos

    Wie bekomme ich die Warnings weiter reduziert bei rkhunter und Lynis (vor allem die vielen bei Lynis unter „System Tools“).

    Dazu lies mal hier:
    rkhunter › Wiki › ubuntuusers.de

    3 Mal editiert, zuletzt von sterun ()

    Für den Inhalt des Beitrages 138112 haftet ausdrücklich der jeweilige Autor: sterun

    Auch mal lesen, was da als warning aufgeführt ist......


    Trenne dich von all deinen Windows Gedankenspielen, Linux ist anders.
    Und da Linux nicht so verbreitet ist, gibt es nicht so viele Viren, rootkits etc.
    Meist reicht da auch ein gutes Menschengefühl anstelle eines Programms......
    Musste rkhunter erst mal installieren, habs jetzt wieder deinstalliert.....


    PS:
    rkhunter.log ist eine reine Textdatei, die kannst du hier als Anhang einfach veröffentlichen.
    Zum bearbeiten gibt es da vim, nano für die Konsole oder graphisch Kate, Kwrite.


    Da brauchst du nicht mit Fliegen auf Spatzen zu schiessen (openoffice) und noch komprimieren (zip)


    Übrigens:
    Herzlich willkommen und frohes neues Jahr

    Für den Inhalt des Beitrages 138113 haftet ausdrücklich der jeweilige Autor: Sauerland

    Kann mich meinem Vorredner nur anschließen. Ich sag es mal mit Bruce Lee: Das, was du zu wissen glaubst, ist ein Wasserglas voll. Das was du lernen sollst, ist ein Wasserglas voll. Wie soll das neue Wissen in dich aufgenommen werden? Schütte das neue Wissen (Wasserglas) in das alte Wissen (auch ein Wasserglas). Was passiert? Es läuft über. Um neues Wissen aufnehmen zu können, mußt du dich von deinem alten Wissen trennen. Was er damit sagen wollte: Löse dich von allem, was du zu wissen glaubst, löse dich von deinen alten Denkweisen und lerne völlig neu. Nur dann kannst du groß werden.
    In dem Sinne ebenfalls ... Willkommen

    Ich bin schon etwas paranoid diesbezüglich, das stimmt. Aber ich sag mir immer das Vorsicht auch besser als Nachsicht ist! ;)
    Heute hat mir rkhunter auch nur einen potenziellen Rootkit angezeigt, was ja auch keinen Sinn macht (die werden wenn ja nicht weniger).


    Zitat von sterun


    Wie @Forentroll schon schrieb, musst du dir keine Gedanken machen.
    Schau dir mal Man-Pages der Software an und du wirst sehen, dass einige Warnungen / Hinweise sich leider nicht vermeiden lassen.
    Wenn etwas Zeit vergangen ist und du dich besser mit Linux auskennst, wirst du solche "Warnungen" nur noch müde belächeln
    Linux ist nicht Windows.

    Ich werde mich mal mit der Seite auf Ubuntuusers beschäftigen, vielen Dank für den Link sterun!
    Als ich das letzte mal versucht hab was von dem Wiki zu versuchen hat es haben die Befehle nicht so wirklich geklappt, deshalb dachte ich, das liegt vielleicht an dem Unterschied von openSUSE zu Ubuntu.


    Zitat von Sauerland

    Auch mal lesen, was da als warning aufgeführt ist......

    Die Warnings hab ich gelesen, das Problem ist nur das ich sie nicht verstanden hab, und bei einigen eine Internetrecherche mich auch nicht wirklich weiter brachte (eher mehr verwirrte).


    Den rkhunter Log konnte ich nur nach dem ersten Durchlauf öffnen, ab dem zweiten wurde mir gesagt, das ich nicht die nötigen Berechtigungen hätte (obwohl ich zu dem Zeitpunkt als Root angemeldet war…).


    Ich wusste mir da momentan nicht anders zu helfen, und dachte es ist besser als wenn ich nichts hochlade. Aber vielen Dank für den Tipp mit vim und co., ich versuche mal ob ich damit den Teil der Meldung hochladen kann den ich meinte!


    Was mich halt trotzdem noch wundert sind die zwei Abstürze. Ist das normal das dies ab und an mal passiert?



    Auf jeden Fall schon mal Danke für eure Antworten, das hat mich jetzt schon wieder ein Stückchen weiter gebracht! :D

    Für den Inhalt des Beitrages 138116 haftet ausdrücklich der jeweilige Autor: Kronos

    Zitat von Kronos

    Den rkhunter Log konnte ich nur nach dem ersten Durchlauf öffnen, ab dem zweiten wurde mir gesagt, das ich nicht die nötigen Berechtigungen hätte (obwohl ich zu dem Zeitpunkt als Root angemeldet war…).

    Da rkhunter als root läuft, wird auch das log als root gespeichert:

    Code
    linux64:~ # ls -al /var/log/rkhunter.log
-rw------- 1 root root 142104  1. Jan 09:05 /var/log/rkhunter.log


    und nur der User root darf lesen (r) und schreiben (w), Gruppe und andere dürfen nichts.
    Hier das Beispiel deiner odt, heruntergeladen und entpackt als User:

    Code
    linux64:~ # ls -al /home/stephan/Downloads/rkhunter\ Testergebnis/rkhunter\ Testergebnis.odt
-rw-r--r-- 1 stephan users 14958 31. Dez 23:46 '/home/stephan/Downloads/rkhunter Testergebnis/rkhunter Testergebnis.odt'

    User stephan darf lesen und schreiben, Gruppe users darf lesen, alle anderen dürfen lesen.
    Unix-Dateirechte – Wikipedia
    Übrigens siehst du in dem ls Befehl auch, das Leerzeichen nicht so sinnvoll sind, diese müssen mit einem vorangestellten \ "maskiert" werden
    Escape-Sequenz – Wikipedia

    Für den Inhalt des Beitrages 138117 haftet ausdrücklich der jeweilige Autor: Sauerland

    Lass dir die warnings mal anzeigen, als root:

    Code
    grep -i -B2 -A1  warning  /var/log/rkhunter.log

    Erklärung:
    grep = durchsuche Datei /var/log/rkhunter.log
    -i = ignoriere Groß-/ Kleinschreibung
    -B2 = zeige auch noch 2 Zeilen vor der Fundstelle (Before)
    -A1 = zeige auch noch 1 Zeile nach der Fundstelle (After)
    warning = ist der Suchstring


    Es wird also in der Datei /var/log/rkhunter.log nach warnings gesucht, wobei die Groß- Kleinschreibung von warning ignoriert wird (beides wird berücksichtigt) und es werden auch noch 2 Zeilen vor der Zeile mit dem Suchstring sowie 1 Zeile nach der Zeile mit dem Suchstring ausgegeben.


    Diese Ergebnis kannst du dann per copy/paste hier posten, allerdings solltest du Code-Tags dafür benutzen, das erhält die Formatierung der Konsole und ist lesbarer.


    Code-Tags = lese die Links hier unter diesem Text.

    Für den Inhalt des Beitrages 138118 haftet ausdrücklich der jeweilige Autor: Sauerland

    Danke Sauerland, ich hab es jetzt dank deiner Hilfe hinbekommen:

    Kann ich den Befehl in abgewandelter Form auch für die Lynis warnings verwenden?

    Für den Inhalt des Beitrages 138122 haftet ausdrücklich der jeweilige Autor: Kronos