rkhunter-Meldung (Kanotix 2006)

Message

Pseudomonas · #1 Post by **Pseudomonas** » 25. Nov 2006 18:27

Hi,

Ich habe auf meinem Zweitrechner Kanotix installiert. rkhunter hat eben folgendes ausgespuckT:

Scanning for hidden files...                        &#91; Warning! &#93;
-------------------------------
/etc/.pwd.lock /dev/.udev
/dev/.static
_____________
Please inspect&#58;  /dev/.udev  &#40;directory&#41;    /dev/.static  &#40;directory&#41;

Hat das was zu bedeuten oder kann das ignoriert werden?

Eine weitere Meldung war noch, dass root-login über ssh möglich sei. Ich hab daraufhin das paket "ssh-server" deinstalliert, danach war die Meldung weg.

(Der ssh-server lief nicht, die logs weisen auf nichts hin). Alle anderen rkhunter Meldungen waren "o.k." oder "clean"

Gruß
Gunnar

PDA · #2 Post by **PDA** » 25. Nov 2006 19:18

Tue doch einfach das was da steht.
Inspiziere die Dateien und dann siehst du ob alles in Ordnung ist.
Wobei ich glaube das es einfach nur eine Warnung ist weil die Datei 'versteckt' ist.

Und wenn man kein 'Remote-Login' über ssh braucht dann muss auch kein Programm installiert werden das dieses bewerkstelligt.

Pseudomonas · #3 Post by **Pseudomonas** » 26. Nov 2006 14:21

Hi,

erstmal Danke für die schnelle Antwort.

> Wobei ich glaube das es einfach nur eine Warnung ist weil die Datei 'versteckt' ist.

Ich auch. Ich hab mich nur gewundert, weil rkhunter auf meinem Suse 10.0 die Meldung nicht ausspuckt.

> Und wenn man kein 'Remote-Login' über ssh braucht dann muss auch kein Programm installiert werden das dieses bewerkstelligt.

Ist mir schon klar, der ssh-server scheint allerdings bei der default installation mit installiert worden zu sein. (Sind meine ersten Schritte mit Kanotix) . Ich hab das Teil daraufhin ja deinstalliert.

> Inspiziere die Dateien und dann siehst du ob alles in Ordnung ist.
Da verlassen mich jetzt etwas die Kenntnisse. Was genau ist mit "Inspizieren" gemeint ? Vorhanden sind die Dateien. Das hab ich schon überprüft.

Gruß
Gunnar

PDA · #4 Post by **PDA** » 27. Nov 2006 9:06

Im .udev Ordner befinden sich Textdateien über verschiedene Geräte. Eine Art Datenbank für die Konfiguration.

Wirklich inspizieren wird damit wahrscheinlich schwer. Was man wohl aber sagen kann das hier keine ausführbaren Dateien enthalten sein dürfen

Mehr wirst du hier auch nicht überprüfen können. Ich kann dir aber einen Artikel empfehlen den ich hier auf Pro-Linux entdeckt habe, der sehr sinnvoll ist, und auch einfach zu bewerkstelligen.

Wenn man mit 'rootkitscannern' arbeiten muss, ist das Kind meistens schon in den Brunnen gefallen.

Schau dir den Artikel ruhig mal an.

http://www.pro-linux.de/t_system/checksummen.html

Pseudomonas · #5 Post by **Pseudomonas** » 27. Nov 2006 18:25

Hi,

Danke für die Hilfe. Ich werd das mit den ausführbaren Dateien mal überprüfen.

> Wenn man mit 'rootkitscannern' arbeiten muss, ist das Kind meistens schon in den Brunnen gefallen.

Mir ist ja am Verhalten des Systems nichts aufgefallen. nach der Defaultinstallation habe ich per apt-get update / upgrade / dist-upgrade das System aktualisiert und dann die Pakete "bastille", "perl-tk" und "rkhunter" installiert. Zunächst hab ich Bastille konfiguriert und danach zuerst rkhunter -- update und danach rkhunter --checkall ausgeführt. Danach kamen die besagten Meldungen.
Kann es sein dass rkhunter das System als Debian SID erkennt und falschen Alarm schlägt, da es sich bei meinem System ja um Kanotix handelt ?

Der Link ist übrigens sehr hilfreich!

Gruß
Gunnar

PDA · #6 Post by **PDA** » 28. Nov 2006 15:14

Also, ein rootkitscanner ist kein Allheilmittel. Es kann nicht alles erkennen und es kann auch falsch erkennen.

Stichwort: Falsch Positiv || Falsch Negativ

Ich persönlich glaube das es Unsinn ist ein Schutzprogramm auf dem Rechner zu installieren der geschützt werden soll. Allerdings kommt es auch darauf an wofür der Rechner gebraucht wird. Eine Multimediamaschine ist kein Hochverfügbarkeitsserver und sollte demnach auch nicht so eingesetzt werden. Ist meine Meinung. Und ich bin alles andere als ein Experte.

Ob du dir eventuell ein rootkit eingefangen hast oder nicht kann hier keiner sagen. Wer das kann muß eher schon Hellseherische Fähigkeiten haben. Wie du siehst kann ich dir deine Schmerzen nicht nehmen

Einen Link empfehle ich dir trotzdem noch, zugegeben, ich habe mir das nicht durchgelesen. Doch es scheint recht passabel zu sein und nicht allzu technisch.

http://www.debian.org/doc/manuals/secur ... l#contents

Es gibt sehr viel interessante Lektüre im Internet. Pro-Linux hat selber einiges an Artikeln zu bieten. Hin und wieder sich mal mit dem Thema beschäftigen bringt einem einiges an Verständnis für die ganze Sache.

laster · #7 Post by **laster** » 02. Sep 2007 12:40

Pseudomonas wrote:Hi,

Ich habe auf meinem Zweitrechner Kanotix installiert. rkhunter hat eben folgendes ausgespuckT:
Code: Select all
Scanning for hidden files...                        &#91; Warning! &#93;
-------------------------------
/etc/.pwd.lock /dev/.udev
/dev/.static
_____________
Please inspect&#58;  /dev/.udev  &#40;directory&#41;    /dev/.static  &#40;directory&#41;
Hat das was zu bedeuten oder kann das ignoriert werden?

Eine weitere Meldung war noch, dass root-login über ssh möglich sei. Ich hab daraufhin das paket "ssh-server" deinstalliert, danach war die Meldung weg.

(Der ssh-server lief nicht, die logs weisen auf nichts hin). Alle anderen rkhunter Meldungen waren "o.k." oder "clean"

Gruß
Gunnar

sumsi · #8 Post by **sumsi** » 03. Sep 2007 8:17

Moin,

mit ssh als root zu arbeiten ist eben nicht fein, nicht notwendig und zu anonym.

In der Datei /etc/ssh/sshd_config die Option "PermitRootLogin" auf "no" stellen hätte es vermutlich auch gemacht.

bye sumsi

rkhunter-Meldung (Kanotix 2006)

rkhunter-Meldung (Kanotix 2006)

wieso erreiche ich solche offenen eingabefelder in google?

ssh als root