rkhunter：正确处理警告的正确方法是什么？

8

我在Google上搜索了一下，并查看了找到的两个第一个链接：

他们没有提到在出现此类警告时该怎么办：

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

Q1：是否有更扩展的HowTos来解释如何处理不同种类的警告？

还有第二个问题。我的行动足以解决这些警告吗？

a）查找包含可疑文件的软件包，例如，文件/ bin / which是debianutils

~ > dpkg -S /bin/which
debianutils: /bin/which

b）要检查debianutils软件包的校验和：

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

c）/bin/which我认为可以放松一下

/bin/which                                                                    OK

d）为了把文件/bin/which来/etc/rkhunter.conf作为SCRIPTWHITELIST="/bin/which"

e）对于文件的警告，/usr/bin/lynx我使用以下方式更新校验和rkhunter --propupd /usr/bin/lynx.cur

问题2：我是否可以正确解决此类警告？

rkhunter

— 祖巴
source

美国

In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.

— CERT-

3

使用debsums是一个非常聪明的主意，但有一个主要缺陷：如果要覆盖诸如的根拥有的文件/bin/which，它也可能会/var/lib/dpkg/info/*.md5sums使用更新的校验和进行重写。据我所知，没有任何监管链可以追溯到Debian / Ubuntu签名。真是可惜，因为那是验证实时文件真实性的非常简单，非常快速的方法。

而是要真正验证文件，您需要下载该deb的新副本，提取内部control.tar.gz文件，然后查看其md5sums文件以与real比较md5sum /bin/which。这是一个痛苦的过程。

这里最有可能发生的事情是您已经进行了一些系统更新（甚至是发行版升级），并且您没有要求rkhunter更新其配置文件。rkhunter需要知道什么文件应该是什么样的，因此任何系统更新都会使它不高兴。

一旦知道安全，便可以运行sudo rkhunter --propupd /bin/which以更新其对文件的引用。

这是rkhunter的问题之一。它需要深度集成到deb流程中，以便在安装受信任的经过签名的软件包时，rkhunter会更新其对文件的引用。

不，我不会将这样的事情列入白名单，因为这正是rootkit会追求的事情。

— 奥利
source

谢谢Oli，我非常感谢您的解释，但我希望有一个实际的解决方案或解决方法。我要开另一个赏金。如果我没有得到我所需要的，我将把赏金分配给您。好吗？）

— zuba

1

祖巴，列入白名单的想法不好。就是取消分配对您和您的反恶意软件应该可见的要检查的文件，尽管使用了此主意，但查看邮件是无害的。我们可以创建一个穿通来代替吗？\开头的\线的某处将被忽略；但这需要一些编码经验，并且对rkhunter的工作有深入的了解。

bin /将在需要时进行重写以适应编程更改；通常，一个文件可能会被替换，或者文件可能会临时创建，并在重新引导后更改或消失，这可能会欺骗rkhunter软件。

在某行中，软件/更新或反恶意软件类似于rootkit，我相信这些就是其中之一。

您使用的方法只有在更改会（以某种方式影响计算机操作）的程序或文件时才是危险的。有时我们在这方面比我们的机器差。为您的计算机证明这一点确实是不公平的，因为我可能是我的。我会记录并记录警告和校验和，并会在发生任何更改时予以注明。

— 第欧根尼灯笼
source

1

是的，我同意将/ bin /列入白名单是一个坏主意

— zuba