rkhunter Warnungen

derwunner · 24. Juni 2020

Hallo,

ich habe ein paar Warnungen in rkhunter erhalten, die ich nicht selbst beheben konnte:

/usr/bin/fgrep wurde ersetzt:

Bash

#!/bin/sh
exec grep -F "$@"

/usr/bin/egrep wurde ersetzt:

Bash

#!/bin/sh
exec grep -E "$@"

/usr/bin/ldd wurde ersetzt:

Code

#! /usr/bin/bash
# Copyright (C) 1996-2020 Free Software Foundation, Inc.
# This file is part of the GNU C Library.

# The GNU C Library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.

# The GNU C Library is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
# Lesser General Public License for more details.

# You should have received a copy of the GNU Lesser General Public
# License along with the GNU C Library; if not, see
# <https://www.gnu.org/licenses/>.


# This is the `ldd' command, which lists what shared libraries are
# used by given dynamically-linked executables.  It works by invoking the
# run-time dynamic linker as a command and setting the environment
# variable LD_TRACE_LOADED_OBJECTS to a non-empty value.

# We should be able to find the translation right at the beginning.
TEXTDOMAIN=libc
TEXTDOMAINDIR=/usr/share/locale

RTLDLIST="/lib/ld-linux.so.2 /lib64/ld-linux-x86-64.so.2 /libx32/ld-linux-x32.so.2"
warn=
bind_now=
verbose=

while test $# -gt 0; do
  case "$1" in
  --vers | --versi | --versio | --version)
    echo 'ldd (GNU libc) 2.31'
    printf $"Copyright (C) %s Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
" "2020"
    printf $"Written by %s and %s.
" "Roland McGrath" "Ulrich Drepper"
    exit 0
    ;;
  --h | --he | --hel | --help)
    echo $"Usage: ldd [OPTION]... FILE...
      --help              print this help and exit
      --version           print version information and exit
  -d, --data-relocs       process data relocations
  -r, --function-relocs   process data and function relocations
  -u, --unused            print unused direct dependencies
  -v, --verbose           print all information
"
    printf $"For bug reporting instructions, please see:\\n%s.\\n" \
      "<http://bugs.opensuse.org>"
    exit 0
    ;;
  -d | --d | --da | --dat | --data | --data- | --data-r | --data-re | \
  --data-rel | --data-relo | --data-reloc | --data-relocs)
    warn=yes
    shift
    ;;
  -r | --f | --fu | --fun | --func | --funct | --functi | --functio | \
  --function | --function- | --function-r | --function-re | --function-rel | \
  --function-relo | --function-reloc | --function-relocs)
    warn=yes
    bind_now=yes
    shift
    ;;
  -v | --verb | --verbo | --verbos | --verbose)
    verbose=yes
    shift
    ;;
  -u | --u | --un | --unu | --unus | --unuse | --unused)
    unused=yes
    shift
    ;;
  --v | --ve | --ver)
    echo >&2 $"ldd: option \`$1' is ambiguous"
    exit 1
    ;;
  --)           # Stop option processing.
    shift; break
    ;;
  -*)
    echo >&2 'ldd:' $"unrecognized option" "\`$1'"
    echo >&2 $"Try \`ldd --help' for more information."
    exit 1
    ;;
  *)
    break
    ;;
  esac
done

nonelf ()
{
  # Maybe extra code for non-ELF binaries.
  return 1;
}

add_env="LD_TRACE_LOADED_OBJECTS=1 LD_WARN=$warn LD_BIND_NOW=$bind_now"
add_env="$add_env LD_LIBRARY_VERSION=\$verify_out"
add_env="$add_env LD_VERBOSE=$verbose"
if test "$unused" = yes; then
  add_env="$add_env LD_DEBUG=\"$LD_DEBUG${LD_DEBUG:+,}unused\""
fi

# The following command substitution is needed to make ldd work in SELinux
# environments where the RTLD might not have permission to write to the
# terminal.  The extra "x" character prevents the shell from trimming trailing
# newlines from command substitution results.  This function is defined as a
# subshell compound list (using "(...)") to prevent parameter assignments from
# affecting the calling shell execution environment.
try_trace() (
  output=$(eval $add_env '"$@"' 2>&1; rc=$?; printf 'x'; exit $rc)
  rc=$?
  printf '%s' "${output%x}"
  return $rc
)

case $# in
0)
  echo >&2 'ldd:' $"missing file arguments"
  echo >&2 $"Try \`ldd --help' for more information."
  exit 1
  ;;
1)
  single_file=t
  ;;
*)
  single_file=f
  ;;
esac

result=0
for file do
  # We don't list the file name when there is only one.
  test $single_file = t || echo "${file}:"
  case $file in
  */*) :
       ;;
  *) file=./$file
     ;;
  esac
  if test ! -e "$file"; then
    echo "ldd: ${file}:" $"No such file or directory" >&2
    result=1
  elif test ! -f "$file"; then
    echo "ldd: ${file}:" $"not regular file" >&2
    result=1
  elif test -r "$file"; then
    test -x "$file" || echo 'ldd:' $"\
warning: you do not have execution permission for" "\`$file'" >&2
    RTLD=
    ret=1
    for rtld in ${RTLDLIST}; do
      if test -x $rtld; then
        verify_out=`${rtld} --verify "$file"`
        ret=$?
        case $ret in
        [02]) RTLD=${rtld}; break;;
        esac
      fi
    done
    case $ret in
    1)
      # This can be a non-ELF binary or no binary at all.
      nonelf "$file" || {
        echo $" not a dynamic executable" >&2
        result=1
      }
      ;;
    0|2)
      try_trace "$RTLD" "$file" || result=1
      ;;
    *)
      echo 'ldd:' ${RTLD} $"exited with unknown exit code" "($ret)" >&2
      exit 1
      ;;
    esac
  else
    echo 'ldd:' $"error: you do not have read permission for" "\`$file'" >&2
    result=1
  fi
done

exit $result
# Local Variables:
#  mode:ksh
# End:

Alles anzeigen

/usr/bin/awk wurde in einem symlink verändert:

Code

lrwxrwxrwx 1 root root 29 12. Jun 13:00 /usr/bin/awk -> /etc/alternatives/usr-bin-awk

/usr/bin/mail wurde in einem symlink verändert:

Code

lrwxrwxrwx 1 root root 22 12. Jun 13:01 /usr/bin/mail -> /etc/alternatives/mail

/usr/bin/mount Dateiberechtigungen wurden verändert:

Code

-rwsr-xr-x 1 root root 43K 30. Mai 18:14 /usr/bin/mount

/usr/bin/su Dateiberechtigungen geändert:

Code

-rwsr-xr-x 1 root root 51K 30. Mai 18:14 /usr/bin/su

/bin/mail Symlink wurde verändert:

Code

lrwxrwxrwx 1 root root 25 12. Jun 13:01 /bin/mail -> /etc/alternatives/binmail

/bin/awk Symlink wurde verändert:

Code

lrwxrwxrwx 1 root root 21 12. Jun 13:00 /bin/awk -> /etc/alternatives/awk

/usr/bin/whatis Symlink wurde verändert:

Code

lrwxrwxrwx 1 root root 24 12. Jun 13:01 /usr/bin/whatis -> /etc/alternatives/whatis

Sieht für mich normal aus, oder?

Wie kann man rkhunter mitteilen, dass es normal ist und es dazu keine Warnung ausgibt?

openSUSE Tumblweed:

Code

NAME="openSUSE Tumbleweed"
# VERSION="20200610"
ID="opensuse-tumbleweed"
ID_LIKE="opensuse suse"
VERSION_ID="20200610"
PRETTY_NAME="openSUSE Tumbleweed"
ANSI_COLOR="0;32"
CPE_NAME="cpe:/o:opensuse:tumbleweed:20200610"
BUG_REPORT_URL="https://bugs.opensuse.org"
HOME_URL="https://www.opensuse.org/"
LOGO="distributor-logo"

Alles anzeigen

MFG

derwunner

sterun · 25. Juni 2020

Etwas Ähnliches hatten wir hier schon:

Rootkits unter neuer openSuse Leap 15.1 Installation?

Zitat von derwunner

Wie kann man rkhunter mitteilen, dass es normal ist und es dazu keine Warnung ausgibt?

Dazu, siehe mal hier:

https://wiki.ubuntuusers.de/rkhunter/

Ich hoffe, jetzt kommst du etwas weiter

derwunner · 25. Juni 2020

Zitat von sterun

Dazu, siehe mal hier:
https://wiki.ubuntuusers.de/rkhunter/

Ich hoffe, jetzt kommst du etwas weiter

In meinem Fall dann Packagemager auf rpm stellen, oder? Erkennt der auch die update-alternatives? Das was ich eingangs aufgezeigt hatte sieht nämlich nach update-alternatives aus.

Seit wann gibt es das in openSUSE und könnte man damit auch mehrere PHP Versionen installieren?

Sauerland · 25. Juni 2020

updates-alternatives gibt es schon lange und wird immer mehr benutzt....

Siehe z.B.:

Code

update-alternatives --display default-displaymanager

oder oder oder.....

derwunner · 25. Juni 2020

Der will mich doch trollen, oder? Jetzt beschwert er sich, dass sich rkhunter.conf geändert hat...

Ja das mit dem update-alternatives klappt noch immer nicht. Was kann man da machen?

Berichtigung · 26. Juni 2020

Was soll der Käse?

sterun hatte dir bereits zwei Links gegeben, der dir erklärt, was mit rkhunter Sache ist.

Wenn du das gelesen hättest, wüsstest du längst, was zu tun ist, oder besser noch: hättest rkhunter längst deinstalliert.

Alero · 26. Juni 2020

derwunner

Als Fachinformatiker solltest du ja wissen, das eine Installation von rkhunter nur Sinn macht, wenn man weiß, 100% weiß, dass das System, auf dem es installiert werden soll/wird/ist, nicht kompromitiert ist. Das hast du doch bestimmt sicher gestellt, oder? Im übrigen, jeder gute Programmierer sichert sein Rootkit heutzutage gegen solche Programme wie rkhunter ab. Deshalb hat Berichtigung völlig Recht, wenn er dir empfiehlt, dieses Programm zu deinstallieren. Die Sicherheit, die dir durch diese Software vermittelt wird, ist trügerisch. Zumal die letzte Modifizierung der Software rkhunter vom Februar 2018 ist. Das sind in der IT Lichtjahre.

Im übrigen gibt es seit mehreren Jahren Rootkits, die über rkhunter und chkrootkit nur müde lächeln können. Beispiel gefällig?

https://www.admin-magazin.de/N…-freier-Wildbahn-entdeckt

Und das war 2018!

derwunner · 26. Juni 2020

Eine Frage noch: Mir gefällt an Apple, dass man die Basisbefehle nicht verändern kann, nicht mal als root. Ich dachte so eine Integrität kann rkhunter sicher stellen. Ist das so nicht richtig?

Wenn nein, dann fliegt's wieder runter.

Berichtigung · 26. Juni 2020

Falls du die manpage gelesen hättest, würdest du wissen, dass alles, was rkhunter tut, ist lediglich Prüfsummen von Dateien zu bilden und die dann mit gespeicherten zu Vergleichen.

Es bringt keinen automatischen Desintegrator für komische Sachen mit, kann auch weder Terminatoren noch Schwarzeneggers aus der Zukunft auf deine Platte beamen und hat auch kein eingebautes Seuchenkrankenhaus mit Chemielabor.

Und bei Apple kann man sich, wie bei einem echten Linux auch, alles kaputtmachen.

Wenn man es kann.

Alle Apple OSe stammen ebenfalls von Unix ab, und sind einem SysV sehr ähnlich.

Es kennt auch alle GNU- Befehle. Die sind zwar per Default von Apple, aber man kann auch die Originale laufen lassen.

So verschieden ist Apple nicht von den *nices.

Sauerland · 26. Juni 2020

Und hier auch einmal meine Gedanken zu diesem Thema:

Mit solchen Programmen wiegt man sich in Sicherheit, die nicht vorhanden ist.

Ich kenne da einen, der immer sagt:

Zitat

Sicherheit ist ein Prozess.
Man lernt nie aus.
Besser ist es, das Gehirn einzuschalten als sich auf irgendwelche Programme zu verlassen.

Schönes Wochenende

rkhunter Warnungen

latex & kpathsea in Betrieb nehmen

Neuinstallation leap 15.5: init Prozess scheitert beim Booten - Kernel Panik

openSUSE jetzt mit bitidentisch rekonstruierbaren Paketen in der Factory-Codebasis und Tumbleweed (bit-by-bit reproducible builds)

VirtualBox erkennt keine USB-Geräte

GRUB: Einrichtung Last Entry Boot schlägt fehl

Kukulkan

vpn

Nidrnox

hudel

uli11

Teilen

Ähnliche Themen

Rootkits unter neuer openSuse Leap 15.1 Installation?