Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: TESTEN RKHUNTER EN CHKROOTKIT  (gelezen 4102 keer)

Offline Soul-Sing

  • Lid
TESTEN RKHUNTER EN CHKROOTKIT
« Gepost op: 2011/03/25, 08:47:39 »
Graag zou ik met een aantal mensen deze bovengenoemde software willen testen. Ze staan, met name rkhunter, bekend om hun false positives, en vreemde uitkomsten. Voor de beginners: het zijn zogenaamde rootkit searchers.
Ik zou mij graag eerst willen richten op rkhunter aan de hand van deze additionele informatie:

1) Before running RKH you will need to fill the file properties database by
running the following command:
 
    rkhunter --propupd of sudo rkhunter --propupd2) The first run of 'rkhunter' after installation may give some warning messages. Please see the FAQ file and the rkhunter mailing list archive posts for more details about this.

3) It is possible for a package manager database to become maliciously
corrupted. To that extent the use of the package manager options with RKH
does not provide any increase in security. However, it may result in less
false-positive warnings of files which have changed. As always RKH can only
report on changes, but not on what has caused the change.

4) Help your fellow Rootkit Hunter users on the rkhunter-users mailing list.
: https://lists.sourceforge.net/lists/listinfo/rkhunter-users

Send a copy of an undetected rootkit to us so that it can be added and help others.

5) Intruder Detection Checklist". This is available from
http://web.archive.org/web/20080109214340/http://www.cert.org/tech_tips/intruder_detection_checklist.html

6) Additionally, the '--versioncheck' option of rkhunter itself
will indicate if a new version is available.

Graag zou ik jullie logs willen zien hier. Zodat ik ze kan vergelijken, om zo eventuele repeterende foutmeldingen te kunnen analyseren.
« Laatst bewerkt op: 2011/03/25, 19:13:10 door leoquant »

Offline Tom

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #1 Gepost op: 2011/03/25, 09:40:23 »
tom@tom-desktop ~ $ sudo chkrootkit
[sudo] password for tom:
ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not found
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not infected
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not found
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          not infected
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/pymodules/python2.6/.path /usr/lib/jvm/.java-6-openjdk.jinfo /usr/lib/firefox-3.6.16/.autoreg /usr/lib/xulrunner-1.9.2.16/.autoreg

Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[1086])
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user tom deleted or never logged from lastlog!
Checking `chkutmp'...                                       chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not infected
tom@tom-desktop ~ $

chkrootkit versie 0.49-3 Lucid :D officiel ondersteund door Canonical.

RKhunter gebruik ik al lang niet meer omdat daar te veel in de achtergrond meedraait en zijn vele false positieve.
Plus dan krijg je er ook nog bij Unhide - BSD-mailx en triplewire.
Plus deze wordt niet ondersteund door Canonical.
« Laatst bewerkt op: 2011/03/25, 10:22:28 door Wanda »
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #2 Gepost op: 2011/03/25, 11:05:56 »
Zou je misschien even de hoofdletters uit je topictitel willen halen? We doen hier niet aan 'schreeuwen' ;)

Offline Tom

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #3 Gepost op: 2011/03/25, 11:14:29 »
1 Daar beslissen de Mods over.
2 Dat is zeker leoquant zijn bedoeling niet.
3 Hij wil een test doen en zet dat voor de duidelijkheid in hoofdletters.
4 En waarom jullie dat altijd schreeuwen noemen  is mij nog altijd niet duidelijk vind het zelfs een belachelijke opmerking en topic vervuiling.
5 Per PB had het ook gekund dan was het topic zuiver gebleven en alleen voor de test.
6 Een uitname was als het vet gedrukt was.
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Offline Soul-Sing

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #4 Gepost op: 2011/03/25, 17:55:24 »
Het probleem is als volgt: rkhunter is een prog dat beschikbaar is vanuit de off. softwarebronnen van ubuntu. Het is bedoeld om eventuele rootkits op te sporen. Het is niet in staat het systeem op te schonen. Echter vanuit de internationale community is de vraag gerezen dit prog eens goed te testen, of te stressen. Vandaaruit zonden we de false positives onder de loep kunnen nemen en de resultaten kunnen analyseren. Maar ik kan niets analyseren zonder testresultaten. Dus nogmaals de vraag of je het prog eens wilt laten runnen, en de resultaten hier te posten. Geef ook aan welke versie je gebruikt van Ubuntu, en welke "smaak".( xubuntu/ubuntu/kubuntu)
Het is een kleine moeite, de bulk werk komt op mij en andere schouders. Het prog veroorzaakt redelijk wat onrust onder ubuntugebruikers omdat ze de uitkomsten vaak niet kunnen duiden/begrijpen, en soms veroorzaakt deze zelfs paniek, wat weer tot gevolg heeft dat beginners hun systeem (onnodig) herinstalleren/etc. en/of Ubuntu de rug toekeren.
« Laatst bewerkt op: 2011/03/25, 19:00:35 door leoquant »

Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #5 Gepost op: 2011/03/25, 18:24:35 »
Die van mij zie bijlage. Ik heb drie warnings, eens kijken wat dat is.
« Laatst bewerkt op: 2011/03/25, 18:52:36 door Gijsbert »
In der Beschränkung zeigt sich der Meister.

Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #6 Gepost op: 2011/03/25, 18:47:33 »
Uit mijn
Uit /var/log/rkhunter.log

Warning1 betreft [18:18:37]   Checking for enabled inetd services             [ Warning ]
[18:18:37] Warning: Found enabled inetd service: swat

warning2 betreft /dev/shm/pulse-shm-1107470264 dit is een geheel leeg bestand. Een beetje vreemd ik gebruik Alsa i.p.v. Pulse ??? Het enige van Pulse wat er nog is, de equalizer.

Warning3 betreft [18:18:53]   Checking for hidden files and directories       [ Warning ]
[18:18:53] Warning: Hidden directory found: /etc/.java
[18:18:53] Warning: Hidden directory found: /dev/.udev
[18:18:53] Warning: Hidden directory found: /dev/.initramfs



In der Beschränkung zeigt sich der Meister.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #7 Gepost op: 2011/03/25, 18:57:48 »
Ik heb beide programma's al een tijdje in gebruik, en er wordt regelmatig een scan gedaan via cron.
De configuraties zijn ook al bijgewerkt om niet onnodig veel valse meldingen te geven...
Heeft het dan nog zin om mijn logs ergens te plaatsen?

Offline Soul-Sing

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #8 Gepost op: 2011/03/25, 19:05:08 »
Citaat
Ik heb beide programma's al een tijdje in gebruik, en er wordt regelmatig een scan gedaan via cron.
De configuraties zijn ook al bijgewerkt om niet onnodig veel valse meldingen te geven...
Heeft het dan nog zin om mijn logs ergens te plaatsen?

nee, zo is het prima. Dus wat je hier eerder plaatste was waardevol.
zoals die:
Citaat
Checking for enabled inetd services             [ Warning ]
« Laatst bewerkt op: 2011/03/25, 19:07:35 door leoquant »

Offline Soul-Sing

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #9 Gepost op: 2011/03/25, 19:08:51 »
Die van mij zie bijlage. Ik heb drie warnings, eens kijken wat dat is.


dank je wel.

Offline Tom

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #10 Gepost op: 2011/03/25, 19:33:59 »
Dus chkrootkit was niet nodig ?.
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #11 Gepost op: 2011/03/25, 19:46:08 »
Later. :)
In der Beschränkung zeigt sich der Meister.

Offline Soul-Sing

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #12 Gepost op: 2011/03/25, 22:41:19 »
Dus chkrootkit was niet nodig ?.

Jawel, het is nuttig de twee rootkitscanners te vergelijken.

Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #13 Gepost op: 2011/03/25, 23:42:03 »
Heb een jaar of vier, vijf rkhunter en chkrootkit gedraaid, en altijd met dezelfde meldingen, rootkit not found en warning, .java en dev/pulse-audio en nog zo wat van zeer waarschijnlijk niet-correcte waarschuwingen. Nu met een nieuwe Ubuntu-installatie denk ik voor de verandering: laat maar eens zitten die rootkit-hunters. Ik zie wel waar het schip strandt (lees: uit ervaring weet ik dat ik op Ubuntu kan vertrouwen, en ook op andere Linux-versies). Naar mijn idee, waarneming, zijn deze programma's een kopie uit de Windows-wereld. Daar is het zeker aan te bevelen om tig keren per dag allerlei checks te doen om te zien of je systeem niet wordt aangevallen, wat daar dagelijkse kost is. Op Ubuntu is dat niet het geval. Een van de redenen waarom ik op dit moment, al een jaar of wat, Ubuntu gebruik. Een standaardinstallatie blijkt ook zonder allerlei extra 'beveiligingslagen' al heel clean - dus goed - in elkaar te steken.

Offline Soul-Sing

  • Lid
Re: TESTEN RKHUNTER EN CHKROOTKIT
« Reactie #14 Gepost op: 2011/03/26, 11:07:49 »
Citaat
Naar mijn idee, waarneming, zijn deze programma's een kopie uit de Windows-wereld. Daar is het zeker aan te bevelen om tig keren per dag allerlei checks te doen om te zien of je systeem niet wordt aangevallen, wat daar dagelijkse kost is.

Dat is een interessante. Vandaar ook mijn oproep, scanresultaten hier te posten, en te analyseren wat rkhunter toevoegt aan een "veiliger" Ubuntu.