Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
rkhunter-Meldung (Kanotix 2006)

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Pseudomonas



Anmeldungsdatum: 16.11.2005
Beiträge: 120
Wohnort: /home/anonymous

BeitragVerfasst am: 25. Nov 2006 18:27   Titel: rkhunter-Meldung (Kanotix 2006)

Hi,

Ich habe auf meinem Zweitrechner Kanotix installiert. rkhunter hat eben folgendes ausgespuckT:

Code:
Scanning for hidden files...                        [ Warning! ]
-------------------------------
/etc/.pwd.lock /dev/.udev
/dev/.static
_____________
Please inspect:  /dev/.udev  (directory)    /dev/.static  (directory)


Hat das was zu bedeuten oder kann das ignoriert werden?

Eine weitere Meldung war noch, dass root-login über ssh möglich sei. Ich hab daraufhin das paket "ssh-server" deinstalliert, danach war die Meldung weg.

(Der ssh-server lief nicht, die logs weisen auf nichts hin). Alle anderen rkhunter Meldungen waren "o.k." oder "clean"

Gruß
Gunnar Cool
_________________
F#mmaj7/9
 
Benutzer-Profile anzeigen Private Nachricht senden

PDA
Gast





BeitragVerfasst am: 25. Nov 2006 19:18   Titel:

Tue doch einfach das was da steht.
Inspiziere die Dateien und dann siehst du ob alles in Ordnung ist.
Wobei ich glaube das es einfach nur eine Warnung ist weil die Datei 'versteckt' ist.

Und wenn man kein 'Remote-Login' über ssh braucht dann muss auch kein Programm installiert werden das dieses bewerkstelligt.
 

Pseudomonas



Anmeldungsdatum: 16.11.2005
Beiträge: 120
Wohnort: /home/anonymous

BeitragVerfasst am: 26. Nov 2006 14:21   Titel:

Hi,

erstmal Danke für die schnelle Antwort.

> Wobei ich glaube das es einfach nur eine Warnung ist weil die Datei 'versteckt' ist.

Ich auch. Ich hab mich nur gewundert, weil rkhunter auf meinem Suse 10.0 die Meldung nicht ausspuckt.


> Und wenn man kein 'Remote-Login' über ssh braucht dann muss auch kein Programm installiert werden das dieses bewerkstelligt.

Ist mir schon klar, der ssh-server scheint allerdings bei der default installation mit installiert worden zu sein. (Sind meine ersten Schritte mit Kanotix) . Ich hab das Teil daraufhin ja deinstalliert.

> Inspiziere die Dateien und dann siehst du ob alles in Ordnung ist.
Da verlassen mich jetzt etwas die Kenntnisse. Was genau ist mit "Inspizieren" gemeint ? Vorhanden sind die Dateien. Das hab ich schon überprüft.

Gruß
Gunnar Cool
_________________
F#mmaj7/9
 
Benutzer-Profile anzeigen Private Nachricht senden

PDA
Gast





BeitragVerfasst am: 27. Nov 2006 9:06   Titel:

Im .udev Ordner befinden sich Textdateien über verschiedene Geräte. Eine Art Datenbank für die Konfiguration.

Wirklich inspizieren wird damit wahrscheinlich schwer. Was man wohl aber sagen kann das hier keine ausführbaren Dateien enthalten sein dürfen Smile

Mehr wirst du hier auch nicht überprüfen können. Ich kann dir aber einen Artikel empfehlen den ich hier auf Pro-Linux entdeckt habe, der sehr sinnvoll ist, und auch einfach zu bewerkstelligen.

Wenn man mit 'rootkitscannern' arbeiten muss, ist das Kind meistens schon in den Brunnen gefallen.

Schau dir den Artikel ruhig mal an.

http://www.pro-linux.de/t_system/checksummen.html
 

Pseudomonas



Anmeldungsdatum: 16.11.2005
Beiträge: 120
Wohnort: /home/anonymous

BeitragVerfasst am: 27. Nov 2006 18:25   Titel:

Hi,

Danke für die Hilfe. Ich werd das mit den ausführbaren Dateien mal überprüfen.

> Wenn man mit 'rootkitscannern' arbeiten muss, ist das Kind meistens schon in den Brunnen gefallen.

Mir ist ja am Verhalten des Systems nichts aufgefallen. nach der Defaultinstallation habe ich per apt-get update / upgrade / dist-upgrade das System aktualisiert und dann die Pakete "bastille", "perl-tk" und "rkhunter" installiert. Zunächst hab ich Bastille konfiguriert und danach zuerst rkhunter -- update und danach rkhunter --checkall ausgeführt. Danach kamen die besagten Meldungen.
Kann es sein dass rkhunter das System als Debian SID erkennt und falschen Alarm schlägt, da es sich bei meinem System ja um Kanotix handelt ?

Der Link ist übrigens sehr hilfreich!

Gruß
Gunnar Cool
_________________
F#mmaj7/9
 
Benutzer-Profile anzeigen Private Nachricht senden

PDA
Gast





BeitragVerfasst am: 28. Nov 2006 15:14   Titel:

Also, ein rootkitscanner ist kein Allheilmittel. Es kann nicht alles erkennen und es kann auch falsch erkennen.

Stichwort: Falsch Positiv || Falsch Negativ

Ich persönlich glaube das es Unsinn ist ein Schutzprogramm auf dem Rechner zu installieren der geschützt werden soll. Allerdings kommt es auch darauf an wofür der Rechner gebraucht wird. Eine Multimediamaschine ist kein Hochverfügbarkeitsserver und sollte demnach auch nicht so eingesetzt werden. Ist meine Meinung. Und ich bin alles andere als ein Experte.

Ob du dir eventuell ein rootkit eingefangen hast oder nicht kann hier keiner sagen. Wer das kann muß eher schon Hellseherische Fähigkeiten haben. Wie du siehst kann ich dir deine Schmerzen nicht nehmen Smile

Einen Link empfehle ich dir trotzdem noch, zugegeben, ich habe mir das nicht durchgelesen. Doch es scheint recht passabel zu sein und nicht allzu technisch.

http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#contents

Es gibt sehr viel interessante Lektüre im Internet. Pro-Linux hat selber einiges an Artikeln zu bieten. Hin und wieder sich mal mit dem Thema beschäftigen bringt einem einiges an Verständnis für die ganze Sache.
 

laster
Gast





BeitragVerfasst am: 02. Sep 2007 12:40   Titel: wieso erreiche ich solche offenen eingabefelder in google?

Pseudomonas hat folgendes geschrieben::
Hi,

Ich habe auf meinem Zweitrechner Kanotix installiert. rkhunter hat eben folgendes ausgespuckT:

Code:
Scanning for hidden files...                        [ Warning! ]
-------------------------------
/etc/.pwd.lock /dev/.udev
/dev/.static
_____________
Please inspect:  /dev/.udev  (directory)    /dev/.static  (directory)


Hat das was zu bedeuten oder kann das ignoriert werden?

Eine weitere Meldung war noch, dass root-login über ssh möglich sei. Ich hab daraufhin das paket "ssh-server" deinstalliert, danach war die Meldung weg.

(Der ssh-server lief nicht, die logs weisen auf nichts hin). Alle anderen rkhunter Meldungen waren "o.k." oder "clean"

Gruß
Gunnar Cool
 

sumsi
Gast





BeitragVerfasst am: 03. Sep 2007 8:17   Titel: ssh als root

Moin,

mit ssh als root zu arbeiten ist eben nicht fein, nicht notwendig und zu anonym.

In der Datei /etc/ssh/sshd_config die Option "PermitRootLogin" auf "no" stellen hätte es vermutlich auch gemacht.

bye sumsi
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy