Seite 1 von 1
Debian Buster: rkhunter false positives?
Verfasst: 08.07.2019 19:35:55
von rwkraemer
Hallo,
ich habe auf einem Fujitsu Lifebook S762 einen Durchlauf mit rkhunter gemacht. Vorher habe ich "rkhunter --update" und "rkhunter --propupd" durchgeführt, nach dem ich die /etc/rkhunter.conf angepasst habe, da sonst die Update-Funktion nicht funktioniert. Verändert habe ich in der rkhunter.conf WEB_CMD (auskommentiert) mirrors-update, Sprache und Paketmanager. Auch habe ich alle Tests auf "enable" gesetzt. Nun habe ich jede Menge Meldungen:
Code: Alles auswählen
[19:05:58] Warnung: Das Kommando '/usr/bin/egrep' wurde durch ein Skript ersetzt: /usr/bin/egrep: POSIX shell script, ASCII text execu$
[19:05:58] /usr/bin/env [ OK ]
[19:05:58] /usr/bin/fgrep [ Warnung ]
[19:05:58] Warnung: Das Kommando '/usr/bin/fgrep' wurde durch ein Skript ersetzt: /usr/bin/fgrep: POSIX shell script, ASCII text execu$
[19:06:14] Warnung: Das Kommando '/usr/bin/which' wurde durch ein Skript ersetzt: /usr/bin/which: POSIX shell script, ASCII text execu$
[19:07:08] Information: Beginne mit dem Test 'deleted_files'
[19:07:08] Überprüfe laufende Prozesse auf gelöschte Dateien [ Warnung ]
[19:07:08] Warnung: Die folgenden Prozesse nutzen gelöschte Dateien:
[19:07:09] Prozess: /usr/bin/pulseaudio PID: 1252 Datei: /memfd:pulseaudio
[19:07:36] Information: Beginne mit dem Test 'ipc_shared_mem'
[19:07:36] Information: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
[19:07:36] Checking for suspicious (large) shared memory segments [ Warnung ]
[19:07:36] Warnung: The following suspicious (large) shared memory segments have been found:
[19:07:36] Process: /usr/bin/xfce4-terminal PID: 2600 Owner: rainer Size: 16MB (configured size allowed: 1,0MB)
[19:07:43] Information: Beginne mit dem Test 'packet_cap_apps'
[19:07:43] Überprüfe auf Anwendungen, die Pakete abfangen [ Warnung ]
[19:07:43] Warnung: Prozess '/usr/sbin/dhclient' (PID 2531) ist in offen in das Netzwerk.
[19:07:45] Information: Beginne mit dem Test 'passwd_changes'
[19:07:45] Checking for passwd file changes [ Warnung ]
[19:07:45] Warnung: Benutzer 'hplip' wurde der passwd-Datei hinzugefügt.
[19:07:53] Dateieigenschaften-Überprüfung...
[19:07:53] Dateien überprüft: 142
[19:07:53] Verdächtige Dateien: 3
[19:07:53]
[19:07:53] Rootkit-Überprüfungen...
[19:07:53] Rootkits überprüft : 481
[19:07:53] Mögliche Rootkits: 2
[19:07:53]
[19:07:53] Anwendungs-Überprüfungen...
[19:07:53] Anwendungen überprüft: 3
[19:07:53] Verdächtige Anwendungen: 0
Sind das alles false positives? Ich habe vor ein paar Tagen Debian Buster frisch installiert, also noch vor dem Release.
Edit: Ich habe einen XFCE-Desktop, der Laptop hat einen Intel Dualcore i5 und eine Intelgrafik. Ich bin mit LAN-Kabel mit einer Fritzbox verbunden.
Re: Debian Buster: rkhunter false positives?
Verfasst: 14.07.2019 23:53:43
von rwkraemer
Ich habe ein wenig gegoogelt, und zumindest die Meldung über "dhclient" scheint ein Fall von "false positive" zu sein, der gelegentlich vorkommen kann. Ich habe die Prozedur des "verifizierens" der ISO durchgeführt, also kann sich eigentlich keine Maleware eingeschlichen haben, da die 2 Systeme erst 2 Wochen alt sind.
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 08:02:16
von uname
grep und fgrep sind eigentlich unterhalb von /bin siehe
grep
which ist eigentlich unterhalb von /bin siehe
debianutils
Vielleicht liegt es daran. Sind /bin/grep und /usr/bin/grep usw. identisch oder Links aufeinander?
Probiere doch mal eine Software wie
debsums aus. Welche Dateien werden dort nicht mit "OK" ausgegeben?
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 08:27:34
von MSfree
uname hat geschrieben: 
15.07.2019 08:02:16
grep und fgrep sind eigentlich unterhalb von /bin siehe
grep
which ist eigentlich unterhalb von /bin siehe
debianutils
Vielleicht liegt es daran. Sind /bin/grep und /usr/bin/grep usw. identisch oder Links aufeinander?
Die ehemals eigenständigen Programme egrep und fgrep sind schon vor dreieinhalb Ewigkeiten im Program
grep aufgegangen. Zwecks Rückwärtskompatibilität gibt es für ewig gestrige aber noch die Befehle
fgrep und
egrep in Form von Skripten:
Auch
which war mal ein eigenständiges Executable, das inzwischen nur noch als Skript existiert.
Der Hinweis, daß es ein verdächtig großes shared Memory Segment gibt, zeigt nur, daß ein Programm namens /usr/bin/xfce4-terminal ein solches benutzt. Stutzig machen sollte das nur, wenn gerade gar kein xfce4-terminal laufen würde. Aber das ist wohl nur das Terminal, in dem rkhunter selbst läuft *Aua*
Und auch dhclient ist ein völlig normaler Prozeß, der nur dann stutzig machen sollte, wenn man das Netzwerk mit statischen IP-Adressen konfiguriert hat.
Alles in allem sollte man die Warnungen einfach mal lesen, und bei angemahnten Skripten einfach mal da reinschauen, Skripte beißen nämlich nicht, sind ASCII und lassen sich mit
cat ganz einfach auf den Konsole ausgeben. Mit anderen Worten, alles Panikmache, rkhunter scheint inzwischen auch ein wenig in die Jahre gekommen zu sein und nörgelt Dinge an, die heutzutage bei jedem Linux normal sind.
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 08:28:19
von RobertS
scripte kann man ansehen, der Inhalt erklärt dann vieles.
Daß dhclient offen ins Netzwerk ist liegt wohl in der Natur von dhclient.
uname hat geschrieben: 15.07.2019 08:02:16
grep und fgrep sind eigentlich unterhalb von /bin siehe
grep
which ist eigentlich unterhalb von /bin siehe
debianutils
Vielleicht liegt es daran. Sind /bin/grep und /usr/bin/grep usw. identisch oder Links aufeinander?
usrmerge nicht mitbekommen? /bin /sbin /lib und ein paar andere Verzeichnisse sind nur noch Links die aus historischen Gründen mitgeschleppt werden.
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 08:49:11
von uname
RobertS hat geschrieben:usrmerge nicht mitbekommen?
Hatte ich auch dran gedacht.
Aber warum wurde
/usr/bin und nicht
/usr angemeckert?
Laut Dateilisten in
https://packages.debian.org war es aber schon immer /bin und nicht /usr/bin . Komisch.
Poste
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 08:58:34
von RobertS
Es war einmal, mittlerweile schreiben wir 2019 und reden von Buster.
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 09:00:18
von uname
RobertS hat geschrieben:Es war einmal, mittlerweile schreiben wir 2019 und reden von Buster.
Meine ich doch. War immer schon /bin und ist auch bei Buster noch so:
https://packages.debian.org/jessie/amd64/grep/filelist
https://packages.debian.org/stretch/amd64/grep/filelist
https://packages.debian.org/buster/amd64/grep/filelist
Re: Debian Buster: rkhunter false positives?
Verfasst: 15.07.2019 10:05:55
von RobertS
Interessant, eigentlich sollte /bin /sbin und ähnliches nur noch als Link existieren. Entweder passt da die Doku nicht oder Debian hat mal wieder was verbockt.
Re: Debian Buster: rkhunter false positives?
Verfasst: 16.07.2019 18:20:12
von rwkraemer
Danke für die Antworten. Da bin ich ja einigermaßen beruhigt. Gibt es eine Aussicht, dass in Buster irgendwann eine aktualisierte Version von rkhunter aufgenommen wird?
Re: Debian Buster: rkhunter false positives?
Verfasst: 17.07.2019 12:33:42
von novalix