Seite 1 von 1
RKhunter warning / perl
Verfasst: 22.12.2012 23:19:01
von Thorleif
Hallo!
Nach meinem Urlaub habe ich grade per apt-get updates und apt-get upgrades
mein System aktualisiert und wie gewohnt rkhunter --check laufen lassen.
Diesmal bekam ich aber zum ersten mal eine Warnung bei /user/bin/perl
Hier mal der Auszug aus der Rkhunter logfile :
[23:14:04] /usr/bin/perl [ Warning ]
[23:14:04] Warning: The file properties have changed:
[23:14:04] File: /usr/bin/perl
[23:14:04] Current hash: 13e50d52280d120bf8c71c7eaf4e7431c9afa392
[23:14:04] Stored hash : f62bbb9e85d386d16f97ea0f3e8afaaf36a36696
[23:14:05] Current inode: 917682 Stored inode: 919085
[23:14:05] Current file modification time: 1355246023 (11-Dec-2012 18:13:43)
[23:14:05] Stored file modification time : 1324459850 (21-Dec-2011 10:30:50)
Das sagt mir ja jetzt, dass Dateien am 11.12 verändert wurden und auch der hash nichtmehr übereinstimmt.
Wie kann ich jetzt kontrollieren ob alles noch seine Richtigkeit hat und ich nicht gehackt wurde ?
All die anderen logfiles sehen soweit eigentlich gut aus.
Re: RKhunter warning / pearl
Verfasst: 23.12.2012 01:08:45
von lemak
Am Tue, 11 Dec 2012 14:07:34 +0000 gab es ein update (5.10.1-17squeeze4). Kann es das sein?
Thorleif hat geschrieben:
Wie kann ich jetzt kontrollieren ob alles noch seine Richtigkeit hat und ich nicht gehackt wurde ?
Die MD5-Summe vergleichen.
Für
perl-base Version 5.10.1-17squeeze4:
- amd64: f3c40bd0f099d744718a4cbbb2293b2c usr/bin/perl
- i386: b0c7b9c874861e902e593685b879ea0d usr/bin/perl
Wenn man seinem System noch vertraut, sollte man das mit "debsums perl-base" gegen prüfen können. Aus dem gleichnamigem Paket
debsums. Aber so fit bin ich damit nicht.
Re: RKhunter warning / pearl
Verfasst: 23.12.2012 01:37:57
von Cae
Thorleif hat geschrieben:Das sagt mir ja jetzt, dass Dateien am 11.12 verändert wurden und auch der hash nichtmehr übereinstimmt.
Genau lesen:
Thorleif hat geschrieben:Code: Alles auswählen
[23:14:05] Current file modification time: 1355246023 (11-Dec-2012 18:13:43)
[23:14:05] Stored file modification time : 1324459850 (21-Dec-2011 10:30:50)
current time steht auf 2012-12-11, d.h. der Zeitpunkt der aktuellen Datei. Der gespeicherterte ("stored") Zeitstempel, der nicht mehr gueltig ist, stammt von 2011-12-21. Das bedeutet, dass die Datei im Dezember '11 angelegt/aufgenommen wurde und 2012 veraendert.
Wie schon beschrieben, Pruefsummen vergleichen; Changelog angucken;
/var/log/apt/history.log zu Rate ziehen. Wenn du dir sicher bist, dass die Aenderung legitim ist, kannst du den aktuellen Stand einchecken mit
und anschliessend noch ein
rkhunter -c --sk zur Kontrolle hinter schicken.
--sk verhindert dieses nervige "press any key" nach jedem Abschnitt (man guckt eh' auf den Rueckgabewert und bei Misserfolg in's Log).
Gruss Cae
Re: RKhunter warning / perl
Verfasst: 23.12.2012 11:40:26
von Thorleif
Danke für eure Antworten!
Ich habe jetzt per Befehl md5sum /usr/bin/perl folgende Ausgabe erhalten:
´
"md5sum /usr/bin/perl
f3c40bd0f099d744718a4cbbb2293b2c /usr/bin/perl"
UP hat in seinem post ja folgenden hash genannt : amd64: f3c40bd0f099d744718a4cbbb2293b2c usr/bin/perl.
Der Wert aus UP's Post sowie der Wert welcher mir von meinem System ausgegeben wird stimmen überein.Das bedeutet für mich jetzt das die Warnung aus einem Update resultiert, richtig ?
Re: RKhunter warning / perl
Verfasst: 23.12.2012 12:17:00
von lemak
Thorleif hat geschrieben:
Ich habe jetzt per Befehl md5sum /usr/bin/perl folgende Ausgabe erhalten:
"md5sum /usr/bin/perl
f3c40bd0f099d744718a4cbbb2293b2c /usr/bin/perl"
Ganz naiv denke ich, dass du um sicher zugehen, die Datei auch per "scp" auf ein vertrauenswürdiges System kopieren und dort die Prüfsumme prüfen könntest.
Denke aber dass der Grund ja nun bekannt und alles okay ist, solange die anderen Parameter im Normal sind.
Ed: An die Prüfsummen kommst du übrigens mit "apt-get download" od. von packages.debian.org kopieren und dann mit "dpkg -x DATEINAME.deb /tmp" od. "file-roller" o.ä. das Paket entpacken und in DEBIAN/md5sums stehen die dann.
Oder einfach "grep usr/bin/perl /var/lib/dpkg/info/*.md5sums" (Optimal auf einem anderen System)
Re: RKhunter warning / perl
Verfasst: 23.12.2012 18:30:52
von Cae
Man sollte bezueglich der Pruefsummen weder packages.debian.org glauben (kein HTTPS, kann gefaelscht sein), noch dem, was ein Unbekannter wie up oder ich behauptet.
Einzig die *.md5sums aus /var/lib/dpkg/ oder die md5sums aus dem entpackten, ueber die Paketverwaltung geladenen Paket sind zuverlaessig. Nur bei ihnen ist die Integritaet durch weitere Pruefsummen und GPG-Signaturen gesichert. Darauf baut auch der debsums-Check auf, ihn kann man ebenfalls verwenden.
Optimalerweise kontrolliert man mit einem nicht von diesem System stammenden md5sum-Programm (d.h. man fliegt entweder die Binary ein, oder besser: die zu pruefende Datei aus (wie up schon erwaehnte)) und unabhaengigen Pruefsummen.
Gruss Cae
Re: RKhunter warning / perl
Verfasst: 23.12.2012 18:57:08
von lemak
Cae hat geschrieben:... Darauf baut auch der debsums-Check auf, ihn kann man ebenfalls verwenden.
Wie ich finde eben nicht.
Es muss nur (lokal unter /var/lib/dpkg/*.debsums) eine gültige zur modifizierten Datei passende MD5-Summe hinterlegt werden und die Datei wird als gültig/passend erkannt...
Nur wird das gemeine Root-Kit dort vielleicht nicht die Prüfsummen od. debsums anpassen. (Hier greift dann die Anweisung: Betreiben Sie einen
Honeypot und/oder studieren Sie die Arbeitsweise bekannte Root-Kits).
Aber sonst hast du recht, es gelten nur die Summen aus den Paketen. Solange diese eine gültige Unterschrift besitzen.
Re: RKhunter warning / perl
Verfasst: 06.05.2018 22:51:42
von Animefreak79
Ich habe gerade haargenau dasselbe Problem, was mich ein bisschen paranoid macht. O_o
Code: Alles auswählen
shinji@nerv-kommandozentrale:~$ grep usr/bin/perl /var/lib/dpkg/info/*.md5sums
/var/lib/dpkg/info/libperl5.24:amd64.md5sums:ed090a83185bf489c3ba290895a3da61 usr/bin/perl5.24-x86_64-linux-gnu
/var/lib/dpkg/info/perl-base.md5sums:cb50223483516e545d497f2c993679f3 usr/bin/perl
/var/lib/dpkg/info/perl-base.md5sums:cb50223483516e545d497f2c993679f3 usr/bin/perl5.24.1
/var/lib/dpkg/info/perl.md5sums:30048c88ce158eab2074a136588b1cd1 usr/bin/perlbug
/var/lib/dpkg/info/perl.md5sums:878b3670b343e75e2452ef0b88640656 usr/bin/perldoc
/var/lib/dpkg/info/perl.md5sums:06b1b10981b30b3d766488caa0f2b37c usr/bin/perlivp
/var/lib/dpkg/info/perl.md5sums:30048c88ce158eab2074a136588b1cd1 usr/bin/perlthanks
shinji@nerv-kommandozentrale:~$
Wieso steht aber auf
https://packages.debian.org/stretch/am ... e/download folgendes:
Code: Alles auswählen
Genaue Größe 1344270 Byte (1,3 MByte)
MD5-Prüfsumme 83b4743fdf24a2f0dc3c6568816320f4
SHA1-Prüfsumme 73516fad2e755425e37e6420a5ae30f1f9713f9c
SHA256-Prüfsumme 9fd9bd0ec725c58de1fc4c625e72cbfbbd723b69094b52cd754364a14dcd5fbd
Öhm... Wie ich das sehe, stimmen die Prüfsummen nicht überein. Die Warnung in der Datei rkhunter.log sieht wie folgt aus:
Code: Alles auswählen
[21:44:25] /usr/bin/perl [ Warning ]
[21:44:25] Warning: The file properties have changed:
[21:44:25] File: /usr/bin/perl
[21:44:25] Current hash: dd98678acf222356110cea289a20f29876ba6f68041788243cb4b5b49fce9a1d
[21:44:25] Stored hash : f9309bbcfb057fce2ea92ab9e56ac4631784120e6840e4bb2a7d8d789763beeb
[21:44:25] Current inode: 915798 Stored inode: 916309
[21:44:25] Current size: 2021960 Stored size: 2017864
[21:44:25] Current file modification time: 1520707189 (10-Mär-2018 19:39:49)
[21:44:25] Stored file modification time : 1505234246 (12-Sep-2017 18:37:26)
Am 10 März gab es lediglich dieses Update:
https://www.debian.org/security/2018/dsa-4134
Irgendwie bin ich da jetzt besorgt... Oder handelt es sich bloß um einen Fehlalarm?
Re: RKhunter warning / perl
Verfasst: 07.05.2018 00:36:51
von tobo
Animefreak79 hat geschrieben: 
06.05.2018 22:51:42
Irgendwie bin ich da jetzt besorgt... Oder handelt es sich bloß um einen Fehlalarm?
Fehlalarm (ziemlich sicher), weil die rkhunter Datei-Datenbank nach dem Perl-Update nicht aktualisiert wurde. Könnnte man nach Paket-Updates (wie darüber schon erwähnt) immer händisch machen mit:
Das kannst du jetzt auch einmal machen und danach rufst du
auf und gibst der 3. Nachfrage auch ein "Yes". Dann passiert das in der Folge automatisch bei Paket-Updates.
Was die Logik angeht: der obere Block zeigt md5-hashes deiner lokalen usr/bin/perl*-Dateien, der mittlere Block zeigt verschiedene Hashes des Debian-Paketes perl-base und der untere Block, den alten und neuen sha256-hash von /usr/bin/perl. Da kann also sowieso nichts übereinstimmen!?
Die Werte (exemplarisch: /usr/bin/perl) sind bei mir identisch:
Code: Alles auswählen
$ md5sum /usr/bin/perl
cb50223483516e545d497f2c993679f3 /usr/bin/perl
$ sha256sum /usr/bin/perl
dd98678acf222356110cea289a20f29876ba6f68041788243cb4b5b49fce9a1d /usr/bin/perl
Re: RKhunter warning / perl
Verfasst: 07.05.2018 22:09:42
von Animefreak79
tobo hat geschrieben:Was die Logik angeht: der obere Block zeigt md5-hashes deiner lokalen usr/bin/perl*-Dateien, der mittlere Block zeigt verschiedene Hashes des Debian-Paketes perl-base und der untere Block, den alten und neuen sha256-hash von /usr/bin/perl. Da kann also sowieso nichts übereinstimmen!?
Sry, das hat mich wohl verwirrt. Und ich hab schon wer weiß was gedacht. Heißt also, dass ich jedes Mal, wenn kritische Sachen wie eine Skriptsprache wie
perl ein Update erfahren, müsste ich bei
rkhunter jedes Mal im Anschluss meine Datenbank neu einlesen, damit es nicht zu weiteren Fehlalarmen kommt. Meinen aufrichtigen Dank.^^