RKhunter warning / perl

[Thorleif]

Hallo!

Nach meinem Urlaub habe ich grade per apt-get updates und apt-get upgrades
mein System aktualisiert und wie gewohnt rkhunter --check laufen lassen.

Diesmal bekam ich aber zum ersten mal eine Warnung bei /user/bin/perl
Hier mal der Auszug aus der Rkhunter logfile :

[23:14:04] /usr/bin/perl [ Warning ]
[23:14:04] Warning: The file properties have changed:
[23:14:04] File: /usr/bin/perl
[23:14:04] Current hash: 13e50d52280d120bf8c71c7eaf4e7431c9afa392
[23:14:04] Stored hash : f62bbb9e85d386d16f97ea0f3e8afaaf36a36696
[23:14:05] Current inode: 917682 Stored inode: 919085
[23:14:05] Current file modification time: 1355246023 (11-Dec-2012 18:13:43)
[23:14:05] Stored file modification time : 1324459850 (21-Dec-2011 10:30:50)

Das sagt mir ja jetzt, dass Dateien am 11.12 verändert wurden und auch der hash nichtmehr übereinstimmt.
Wie kann ich jetzt kontrollieren ob alles noch seine Richtigkeit hat und ich nicht gehackt wurde ?

All die anderen logfiles sehen soweit eigentlich gut aus.

[lemak]

Am Tue, 11 Dec 2012 14:07:34 +0000 gab es ein update (5.10.1-17squeeze4). Kann es das sein?

Wie kann ich jetzt kontrollieren ob alles noch seine Richtigkeit hat und ich nicht gehackt wurde ?

Die MD5-Summe vergleichen.

Für perl-base Version 5.10.1-17squeeze4:

• amd64: f3c40bd0f099d744718a4cbbb2293b2c usr/bin/perl
• i386: b0c7b9c874861e902e593685b879ea0d usr/bin/perl

Wenn man seinem System noch vertraut, sollte man das mit "debsums perl-base" gegen prüfen können. Aus dem gleichnamigem Paket debsums. Aber so fit bin ich damit nicht.

[Cae]

Das sagt mir ja jetzt, dass Dateien am 11.12 verändert wurden und auch der hash nichtmehr übereinstimmt.

Genau lesen:

Code: Alles auswählen

[23:14:05]          Current file modification time: 1355246023 (11-Dec-2012 18:13:43)
[23:14:05]          Stored file modification time : 1324459850 (21-Dec-2011 10:30:50)

current time steht auf 2012-12-11, d.h. der Zeitpunkt der aktuellen Datei. Der gespeicherterte ("stored") Zeitstempel, der nicht mehr gueltig ist, stammt von 2011-12-21. Das bedeutet, dass die Datei im Dezember '11 angelegt/aufgenommen wurde und 2012 veraendert.

Wie schon beschrieben, Pruefsummen vergleichen; Changelog angucken; /var/log/apt/history.log zu Rate ziehen. Wenn du dir sicher bist, dass die Aenderung legitim ist, kannst du den aktuellen Stand einchecken mit

Code: Alles auswählen

# rkhunter --propupd

und anschliessend noch ein rkhunter -c --sk zur Kontrolle hinter schicken. --sk verhindert dieses nervige "press any key" nach jedem Abschnitt (man guckt eh' auf den Rueckgabewert und bei Misserfolg in's Log).

Gruss Cae

[Thorleif]

Danke für eure Antworten!


Ich habe jetzt per Befehl md5sum /usr/bin/perl folgende Ausgabe erhalten:
´
"md5sum /usr/bin/perl
f3c40bd0f099d744718a4cbbb2293b2c /usr/bin/perl"

UP hat in seinem post ja folgenden hash genannt : amd64: f3c40bd0f099d744718a4cbbb2293b2c usr/bin/perl.

Der Wert aus UP's Post sowie der Wert welcher mir von meinem System ausgegeben wird stimmen überein.Das bedeutet für mich jetzt das die Warnung aus einem Update resultiert, richtig ?

[lemak]

Ich habe jetzt per Befehl md5sum /usr/bin/perl folgende Ausgabe erhalten:
"md5sum /usr/bin/perl
f3c40bd0f099d744718a4cbbb2293b2c /usr/bin/perl"

Ganz naiv denke ich, dass du um sicher zugehen, die Datei auch per "scp" auf ein vertrauenswürdiges System kopieren und dort die Prüfsumme prüfen könntest.

Denke aber dass der Grund ja nun bekannt und alles okay ist, solange die anderen Parameter im Normal sind.

Ed: An die Prüfsummen kommst du übrigens mit "apt-get download" od. von packages.debian.org kopieren und dann mit "dpkg -x DATEINAME.deb /tmp" od. "file-roller" o.ä. das Paket entpacken und in DEBIAN/md5sums stehen die dann.
Oder einfach "grep usr/bin/perl /var/lib/dpkg/info/*.md5sums" (Optimal auf einem anderen System)

[Cae]

Man sollte bezueglich der Pruefsummen weder packages.debian.org glauben (kein HTTPS, kann gefaelscht sein), noch dem, was ein Unbekannter wie up oder ich behauptet.

Einzig die *.md5sums aus /var/lib/dpkg/ oder die md5sums aus dem entpackten, ueber die Paketverwaltung geladenen Paket sind zuverlaessig. Nur bei ihnen ist die Integritaet durch weitere Pruefsummen und GPG-Signaturen gesichert. Darauf baut auch der debsums-Check auf, ihn kann man ebenfalls verwenden.

Optimalerweise kontrolliert man mit einem nicht von diesem System stammenden md5sum-Programm (d.h. man fliegt entweder die Binary ein, oder besser: die zu pruefende Datei aus (wie up schon erwaehnte)) und unabhaengigen Pruefsummen.

Gruss Cae

[lemak]

... Darauf baut auch der debsums-Check auf, ihn kann man ebenfalls verwenden.

Wie ich finde eben nicht.

Prüfung der Integrität des Dateisystems [...] debsums [...] Seien Sie aber gewarnt, dass diese Dateien sehr leicht von einem Angreifer geändert werden können.

Es muss nur (lokal unter /var/lib/dpkg/*.debsums) eine gültige zur modifizierten Datei passende MD5-Summe hinterlegt werden und die Datei wird als gültig/passend erkannt...
Nur wird das gemeine Root-Kit dort vielleicht nicht die Prüfsummen od. debsums anpassen. (Hier greift dann die Anweisung: Betreiben Sie einen Honeypot und/oder studieren Sie die Arbeitsweise bekannte Root-Kits).

Aber sonst hast du recht, es gelten nur die Summen aus den Paketen. Solange diese eine gültige Unterschrift besitzen.

[Animefreak79]

Ich habe gerade haargenau dasselbe Problem, was mich ein bisschen paranoid macht. O_o

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ grep usr/bin/perl /var/lib/dpkg/info/*.md5sums
/var/lib/dpkg/info/libperl5.24:amd64.md5sums:ed090a83185bf489c3ba290895a3da61  usr/bin/perl5.24-x86_64-linux-gnu
/var/lib/dpkg/info/perl-base.md5sums:cb50223483516e545d497f2c993679f3  usr/bin/perl
/var/lib/dpkg/info/perl-base.md5sums:cb50223483516e545d497f2c993679f3  usr/bin/perl5.24.1
/var/lib/dpkg/info/perl.md5sums:30048c88ce158eab2074a136588b1cd1  usr/bin/perlbug
/var/lib/dpkg/info/perl.md5sums:878b3670b343e75e2452ef0b88640656  usr/bin/perldoc
/var/lib/dpkg/info/perl.md5sums:06b1b10981b30b3d766488caa0f2b37c  usr/bin/perlivp
/var/lib/dpkg/info/perl.md5sums:30048c88ce158eab2074a136588b1cd1  usr/bin/perlthanks
shinji@nerv-kommandozentrale:~$

Wieso steht aber auf https://packages.debian.org/stretch/am ... e/download folgendes:

Code: Alles auswählen

Genaue Größe	1344270 Byte (1,3 MByte)
MD5-Prüfsumme	83b4743fdf24a2f0dc3c6568816320f4
SHA1-Prüfsumme	73516fad2e755425e37e6420a5ae30f1f9713f9c
SHA256-Prüfsumme	9fd9bd0ec725c58de1fc4c625e72cbfbbd723b69094b52cd754364a14dcd5fbd

Öhm... Wie ich das sehe, stimmen die Prüfsummen nicht überein. Die Warnung in der Datei rkhunter.log sieht wie folgt aus:

Code: Alles auswählen

[21:44:25]   /usr/bin/perl                                   [ Warning ]
[21:44:25] Warning: The file properties have changed:
[21:44:25]          File: /usr/bin/perl
[21:44:25]          Current hash: dd98678acf222356110cea289a20f29876ba6f68041788243cb4b5b49fce9a1d
[21:44:25]          Stored hash : f9309bbcfb057fce2ea92ab9e56ac4631784120e6840e4bb2a7d8d789763beeb
[21:44:25]          Current inode: 915798    Stored inode: 916309
[21:44:25]          Current size: 2021960    Stored size: 2017864
[21:44:25]          Current file modification time: 1520707189 (10-Mär-2018 19:39:49)
[21:44:25]          Stored file modification time : 1505234246 (12-Sep-2017 18:37:26)

Am 10 März gab es lediglich dieses Update:
https://www.debian.org/security/2018/dsa-4134
Irgendwie bin ich da jetzt besorgt... Oder handelt es sich bloß um einen Fehlalarm?

[tobo]

Irgendwie bin ich da jetzt besorgt... Oder handelt es sich bloß um einen Fehlalarm?

Fehlalarm (ziemlich sicher), weil die rkhunter Datei-Datenbank nach dem Perl-Update nicht aktualisiert wurde. Könnnte man nach Paket-Updates (wie darüber schon erwähnt) immer händisch machen mit:

Code: Alles auswählen

# rkhunter --propupd

Das kannst du jetzt auch einmal machen und danach rufst du

Code: Alles auswählen

# dpkg-reconfigure rkhunter

auf und gibst der 3. Nachfrage auch ein "Yes". Dann passiert das in der Folge automatisch bei Paket-Updates.

Was die Logik angeht: der obere Block zeigt md5-hashes deiner lokalen usr/bin/perl*-Dateien, der mittlere Block zeigt verschiedene Hashes des Debian-Paketes perl-base und der untere Block, den alten und neuen sha256-hash von /usr/bin/perl. Da kann also sowieso nichts übereinstimmen!?

Die Werte (exemplarisch: /usr/bin/perl) sind bei mir identisch:

Code: Alles auswählen

$ md5sum /usr/bin/perl
cb50223483516e545d497f2c993679f3  /usr/bin/perl
$ sha256sum /usr/bin/perl
dd98678acf222356110cea289a20f29876ba6f68041788243cb4b5b49fce9a1d  /usr/bin/perl

[Animefreak79]

Was die Logik angeht: der obere Block zeigt md5-hashes deiner lokalen usr/bin/perl*-Dateien, der mittlere Block zeigt verschiedene Hashes des Debian-Paketes perl-base und der untere Block, den alten und neuen sha256-hash von /usr/bin/perl. Da kann also sowieso nichts übereinstimmen!?

Sry, das hat mich wohl verwirrt. Und ich hab schon wer weiß was gedacht. Heißt also, dass ich jedes Mal, wenn kritische Sachen wie eine Skriptsprache wie perl ein Update erfahren, müsste ich bei rkhunter jedes Mal im Anschluss meine Datenbank neu einlesen, damit es nicht zu weiteren Fehlalarmen kommt. Meinen aufrichtigen Dank.^^