(gelöst) chkrootkit und rkhunter geben Warmeldungen aus.

[Animefreak79]

Heute, am Heilgen Abend (bei der Gelegenheit auch frohes Fest, Leutz^^), habe ich chkrootkit ausgeführt... Während das Programm lief, kam an einer Stelle folgende Ausgabe:

Code: Alles auswählen

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/debug/.build-id
/usr/lib/debug/.build-id

Wieso schlägt chkrootkit an dieser Stelle Alarm? Oder ist es gewöhnlich, dass die Java-Umgebung bzw dessen Debugger versteckte Verzechnisse anlegt? (Kenn mich mit Java überhaupt nicht aus Q_Q)... Irgendwie lässt mir diese Warnmeldung keine Ruhe... Und ganz am Ende von chkrootkit lautete die Ausgabe:

Code: Alles auswählen

Checking `lkm'...                                           You have     1 process hidden for readdir command
You have     1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
enp2s0: PACKET SNIFFER(/sbin/dhclient[666])
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            chklastlog: nothing deleted
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root        21101 pts/0  bash
! root        21105 pts/0  /bin/sh /usr/sbin/chkrootkit
! root        21771 pts/0  ./chkutmp
! root        21773 pts/0  ps axk tty,ruser,args -o tty,pid,ruser,args
! root        21772 pts/0  sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected

Möglicher Trojaner in einem Linux Kernel Modul, oder so ähnlich? Ugh, das klingt irgendwie nicht gesund.
Also habe ich noch rkhunter laufen lassen, in der Hoffnung, dass es wenigstens da nichts zu beanstanden gibt, erhielt aber bei /usr/bin/lwp-request eine Warnmeldung. Ebenso als es hieß Checking for hidden files and directories. Ausgabe von rkhunter am Ende:

Code: Alles auswählen

System checks summary
=====================

File properties checks...
    Files checked: 141
    Suspect files: 1

Rootkit checks...
    Rootkits checked : 361
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 3 minutes and 23 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

root@nerv-kommandozentrale:~# 

Allerdings habe ich in besagtem Logfile absolut nichts gefunden, was ich komisch finde... Oder bin ich einfach nur paranoid? War das alles ein Fehlalarm?

/Edit
Hab die Logdatei nochmal geprüft (natürlich als root), diesmal in einem Editor anstatt mit cat. Hab folgende Warmeldung gefunden:

Code: Alles auswählen

[12:23:38]   /usr/bin/lwp-request                            [ Warning ]

Nicht gerade aufschlussreich, finde ich. Und ich sollte vllt noch erwähnen, dass ich rkhunter mit der Option -c ausgeführt hab, also

Code: Alles auswählen

rkhunter -c

Hmmm... Irgendwie bin ich beunruhigt.

[rendegast]

Code: Alles auswählen

dpkg-query -S build-id

dpkg -l  |  egrep -v "^ii"

?

Code: Alles auswählen

# dpkg-query -S lwp-request
libwww-perl: /usr/bin/lwp-request
libwww-perl: /usr/share/man/man1/lwp-request.1p.gz

Code: Alles auswählen

cd /
md5sum -c /var/lib/dpkg/info/libwww-perl

[DynaBlaster]

Zu rkhunter und "/usr/bin/lwp-request" schau mal hier: https://sourceforge.net/p/rkhunter/mail ... /31460254/

Zu 99% ein false postive, der sich anscheinend beheben lässt, indem man in der rkhunter.conf das hier einfügt: PKGMGR=DPKG.

Für die Java-Meldungen von chkrootkit gilt das gleiche. Sehr wahrscheinlich false positives, zumindest gibt es Debian-Pakete, die diese Dateien/Verzeichnisse haben

https://packages.debian.org/stretch/amd ... s/filelist
https://packages.debian.org/stretch/amd ... g/filelist

Da könntest du die Dateigrössen und/oder checksums gegenchecken, um 100% sicher zu gehen. Oder halt die Java-Pakete temporär deinstallieren und rkhunter/chkrootkit dann laufen lassen.

Bleibt noch der hidden lkm-Prozess. Vermutlich ebenfalls nen false postive. Internet ist voll von solchen Meldungen/Forumseinträgen. Meist in Zusammenhang mit laufenden Systemdiensten wie portsentry, clamav, usw.. Hier könntest du versuchen, alle möglchen Dienste, die nicht zwingend gebraucht werden temp. abzuschalten und dann zu testen.

Mein Gefühl sagt mir, das alles okay ist. Würde aber dennoch auf Nummer sicher gehen und alles wie oben beschrieben gegenchecken.

[Animefreak79]

Aaaargh, hab

Code: Alles auswählen

dpkg-query -S build-id

natürlich als root ausgeführt, genau wie auch

Code: Alles auswählen

dpkg -l  |  egrep -v "^ii

Gut, dass zumindest letzteres auch als Standarduser funktioniert, denn ich möchte als root eigentlich ungern einen Webbrowser nutzen.

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ dpkg -l  |  egrep -v "^ii"
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
         Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name                                  Version                                    Architektur  Beschreibung
+++-=====================================-==========================================-============-===============================================================================
rc  apparmor-profiles                     2.11.0-3                                   all          profiles for AppArmor Security policies
rc  apparmor-profiles-extra               1.11                                       all          Extra profiles for AppArmor Security policies
rc  apparmor-utils                        2.11.0-3                                   amd64        utilities for controlling AppArmor
rc  catdoc                                1:0.94.3~git20160113.dbc9ec6+dfsg-1+deb9u1 amd64        Convert Word, Excel, and PowerPoint files to plain text
rc  google-chrome-stable                  62.0.3202.94-1                             amd64        The web browser from Google
rc  libbdplus0                            0.1.2-dmo1+deb8u1                          amd64        BD+ library - shared library
rc  libgksu2-0                            2.0.13~pre1-9+b1                           amd64        library providing su and sudo functionality
rc  live-tools                            1:20151214+nmu1                            all          Live System Extra Components
rc  rsync                                 3.1.2-1                                    amd64        fast, versatile, remote (and local) file-copying tool
rc  user-setup                            1.67                                       all          Set up initial user and password
shinji@nerv-kommandozentrale:~$

Mutet doch etwas seltsam an, apparmor habe ich garnicht mehr installiert, google-chrome habe ich auch komplett entfernt und durch Chromium ersetzt... Die Tatsache, dass es die hidden files, vor denen ich gewarnt wurde, als Debian-Pakete gibt, beruhigt mich schon einmal, dass sind ja sogar haargenau dieselben Dateien in denselben versteckten Verzeichnisse, also denke ich mal, ist wohl alles gut, und schon so installiert worden. Vielen Dank, DynaBlaster.

Darüberhinaus habe ich sowohl chkroot als auch rkhunter ein weiteres Mal laufen lassen, nachdem ich PKGMGR=DPKG in die rkhunter.conf eingefügt habe. Jetzt hat chkroot überhaupt keine Warnmeldung mehr ausgegeben, rkhunter hat noch vor dem versteckten Verzeichnis der Java-Umgebung gewarnt, das aber offensichtlich von Debian selbst stammt. Vor allem

Code: Alles auswählen

Checking `lkm'...                                           You have     1 process hidden for readdir command
You have     1 process hidden for ps command

hatte mich anfangs sehr stutzig gemacht, von wegen versteckten Prozess vor dem Kommando ps... Aber diese Meldung ist ja jetzt nicht mehr aufgetreten. Also denke ich mal, es ist alles gut. Um md5sum (welches bei mir nicht installiert ist, wie ich festgestellt habe)werde ich mich im Laufe des Abends wohl auch noch kümmern, jetzt geht es erstmal zu meiner Familie.^^