Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 11. Dez 2018 20:55

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 8 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: rkhunter-Meldung (Kanotix 2006)
BeitragVerfasst: 25. Nov 2006 18:27 
Offline
Benutzeravatar

Registriert: 16. Nov 2005 12:55
Beiträge: 120
Wohnort: /home/anonymous
Hi,

Ich habe auf meinem Zweitrechner Kanotix installiert. rkhunter hat eben folgendes ausgespuckT:
Code:
Scanning for hidden files...                        [ Warning! ]
-------------------------------
/etc/.pwd.lock /dev/.udev
/dev/.static
_____________
Please inspect:  /dev/.udev  (directory)    /dev/.static  (directory)
Hat das was zu bedeuten oder kann das ignoriert werden?

Eine weitere Meldung war noch, dass root-login über ssh möglich sei. Ich hab daraufhin das paket "ssh-server" deinstalliert, danach war die Meldung weg.

(Der ssh-server lief nicht, die logs weisen auf nichts hin). Alle anderen rkhunter Meldungen waren "o.k." oder "clean"

Gruß
Gunnar 8)

_________________
F#mmaj7/9


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 25. Nov 2006 19:18 
Tue doch einfach das was da steht.
Inspiziere die Dateien und dann siehst du ob alles in Ordnung ist.
Wobei ich glaube das es einfach nur eine Warnung ist weil die Datei 'versteckt' ist.

Und wenn man kein 'Remote-Login' über ssh braucht dann muss auch kein Programm installiert werden das dieses bewerkstelligt.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 26. Nov 2006 14:21 
Offline
Benutzeravatar

Registriert: 16. Nov 2005 12:55
Beiträge: 120
Wohnort: /home/anonymous
Hi,

erstmal Danke für die schnelle Antwort.

> Wobei ich glaube das es einfach nur eine Warnung ist weil die Datei 'versteckt' ist.

Ich auch. Ich hab mich nur gewundert, weil rkhunter auf meinem Suse 10.0 die Meldung nicht ausspuckt.


> Und wenn man kein 'Remote-Login' über ssh braucht dann muss auch kein Programm installiert werden das dieses bewerkstelligt.

Ist mir schon klar, der ssh-server scheint allerdings bei der default installation mit installiert worden zu sein. (Sind meine ersten Schritte mit Kanotix) . Ich hab das Teil daraufhin ja deinstalliert.

> Inspiziere die Dateien und dann siehst du ob alles in Ordnung ist.
Da verlassen mich jetzt etwas die Kenntnisse. Was genau ist mit "Inspizieren" gemeint ? Vorhanden sind die Dateien. Das hab ich schon überprüft.

Gruß
Gunnar 8)

_________________
F#mmaj7/9


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Nov 2006 9:06 
Im .udev Ordner befinden sich Textdateien über verschiedene Geräte. Eine Art Datenbank für die Konfiguration.

Wirklich inspizieren wird damit wahrscheinlich schwer. Was man wohl aber sagen kann das hier keine ausführbaren Dateien enthalten sein dürfen :)

Mehr wirst du hier auch nicht überprüfen können. Ich kann dir aber einen Artikel empfehlen den ich hier auf Pro-Linux entdeckt habe, der sehr sinnvoll ist, und auch einfach zu bewerkstelligen.

Wenn man mit 'rootkitscannern' arbeiten muss, ist das Kind meistens schon in den Brunnen gefallen.

Schau dir den Artikel ruhig mal an.

http://www.pro-linux.de/t_system/checksummen.html


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Nov 2006 18:25 
Offline
Benutzeravatar

Registriert: 16. Nov 2005 12:55
Beiträge: 120
Wohnort: /home/anonymous
Hi,

Danke für die Hilfe. Ich werd das mit den ausführbaren Dateien mal überprüfen.

> Wenn man mit 'rootkitscannern' arbeiten muss, ist das Kind meistens schon in den Brunnen gefallen.

Mir ist ja am Verhalten des Systems nichts aufgefallen. nach der Defaultinstallation habe ich per apt-get update / upgrade / dist-upgrade das System aktualisiert und dann die Pakete "bastille", "perl-tk" und "rkhunter" installiert. Zunächst hab ich Bastille konfiguriert und danach zuerst rkhunter -- update und danach rkhunter --checkall ausgeführt. Danach kamen die besagten Meldungen.
Kann es sein dass rkhunter das System als Debian SID erkennt und falschen Alarm schlägt, da es sich bei meinem System ja um Kanotix handelt ?

Der Link ist übrigens sehr hilfreich!

Gruß
Gunnar 8)

_________________
F#mmaj7/9


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 28. Nov 2006 15:14 
Also, ein rootkitscanner ist kein Allheilmittel. Es kann nicht alles erkennen und es kann auch falsch erkennen.

Stichwort: Falsch Positiv || Falsch Negativ

Ich persönlich glaube das es Unsinn ist ein Schutzprogramm auf dem Rechner zu installieren der geschützt werden soll. Allerdings kommt es auch darauf an wofür der Rechner gebraucht wird. Eine Multimediamaschine ist kein Hochverfügbarkeitsserver und sollte demnach auch nicht so eingesetzt werden. Ist meine Meinung. Und ich bin alles andere als ein Experte.

Ob du dir eventuell ein rootkit eingefangen hast oder nicht kann hier keiner sagen. Wer das kann muß eher schon Hellseherische Fähigkeiten haben. Wie du siehst kann ich dir deine Schmerzen nicht nehmen :)

Einen Link empfehle ich dir trotzdem noch, zugegeben, ich habe mir das nicht durchgelesen. Doch es scheint recht passabel zu sein und nicht allzu technisch.

http://www.debian.org/doc/manuals/secur ... l#contents

Es gibt sehr viel interessante Lektüre im Internet. Pro-Linux hat selber einiges an Artikeln zu bieten. Hin und wieder sich mal mit dem Thema beschäftigen bringt einem einiges an Verständnis für die ganze Sache.


Nach oben
   
BeitragVerfasst: 02. Sep 2007 12:40 
Zitat:
Hi,

Ich habe auf meinem Zweitrechner Kanotix installiert. rkhunter hat eben folgendes ausgespuckT:
Code:
Scanning for hidden files...                        [ Warning! ]
-------------------------------
/etc/.pwd.lock /dev/.udev
/dev/.static
_____________
Please inspect:  /dev/.udev  (directory)    /dev/.static  (directory)
Hat das was zu bedeuten oder kann das ignoriert werden?

Eine weitere Meldung war noch, dass root-login über ssh möglich sei. Ich hab daraufhin das paket "ssh-server" deinstalliert, danach war die Meldung weg.

(Der ssh-server lief nicht, die logs weisen auf nichts hin). Alle anderen rkhunter Meldungen waren "o.k." oder "clean"

Gruß
Gunnar 8)


Nach oben
   
 Betreff des Beitrags: ssh als root
BeitragVerfasst: 03. Sep 2007 8:17 
Moin,

mit ssh als root zu arbeiten ist eben nicht fein, nicht notwendig und zu anonym.

In der Datei /etc/ssh/sshd_config die Option "PermitRootLogin" auf "no" stellen hätte es vermutlich auch gemacht.

bye sumsi


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 8 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de