Results 1 to 5 of 5

Thread: Rootkit Hunter: is mijn systeem gehackt of niet?

  1. #1
    Join Date
    Jan 2009
    Location
    The Netherlands
    Posts
    370

    Default Rootkit Hunter: is mijn systeem gehackt of niet?

    Beste mede susers,


    Er is geen "security" sub forum, dus ik weet niet beter dan dit onderwerp hier te posten. Als het niet klopt, merk ik het wel.
    Ik draaide rkhunter (de eerste keer dat ik dit doe op mijn OpenSUSE 13.1 systeem, sinds ik dit heb geïnstalleerd kort na verschijnen). Hij gaf bij 109 gescande toepassingen een waarschuwing. Dat heb ik eigenlijk nooit eerder gehad en weet eigenlijk niet goed wat de uitslag betekent (ik zit hier wel met een vreemde knoop in mijn buik).
    Overigens zijn tijdens dezelfde check geen bekende rootkits gevonden en scans voor trojans en onbekende rootkits leverde ook nul besmettingen op.
    Misschien dat iemand me hiermee kan helpen? Heel graag!

    Ik gaf dit commando als root:
    Code:
    rkhunter --check

    Dit is de samenvatting:
    Code:
    System checks summary
    =====================
    
    
    File properties checks...
        Required commands check failed
        Files checked: 184
        Suspect files: 109
    
    
    Rootkit checks...
        Rootkits checked : 310
        Possible rootkits: 0
    
    
    Applications checks...
        Applications checked: 5
        Suspect applications: 0
    Hier is het complete log:
    http://susepaste.org/72056445


    Mijn systeem:
    OpenSUSE 13.1
    Kernel Linux 3.14.0-2.gfa168d7-desktop
    KDE 4.13.0
    Compleet bijgewerkt, gepatcht en geüpdate met zypper.


    Code:
    zypper lr
    #  | Alias                       | Naam                               | Ingeschakeld | Vernieuwen
    ---+-----------------------------+------------------------------------+--------------+-----------
     1 | AMD/ATI-FGLRX               | AMD/ATI-FGLRX                      | Ja           | Ja        
     2 | Geo                         | Geo                                | Nee          | Nee       
     3 | KDE_current                 | KDE current                        | Ja           | Ja        
     4 | KDE_current_extra           | KDE current extra                  | Ja           | Ja        
     5 | Pipelight                   | Pipelight                          | Ja           | Ja        
     6 | devel:libraries:c_c++       | devel:libraries:c_c++              | Nee          | Nee       
     7 | download.opensuse.org-games | openSUSE BuildService - Spellen    | Nee          | Nee       
     8 | ftp.gwdg.de-suse            | Packman Repository                 | Ja           | Ja        
     9 | games:tools                 | games:tools                        | Nee          | Nee       
    10 | google-chrome               | google-chrome                      | Ja           | Ja                                                   
    11 | kernel                      | kernel                             | Nee          | Nee                                                  
    12 | opensuse-guide.org-repo     | libdvdcss repository               | Nee          | Nee                                                  
    13 | repo-debug                  | openSUSE-13.1-Debug                | Nee          | Nee                                                  
    14 | repo-debug-update           | openSUSE-13.1-Update-Debug         | Nee          | Nee                                                  
    15 | repo-debug-update-non-oss   | openSUSE-13.1-Update-Debug-Non-Oss | Nee          | Nee                                                  
    16 | repo-non-oss                | openSUSE-13.1-Non-Oss              | Ja           | Ja                                                   
    17 | repo-oss                    | openSUSE-13.1-Oss                  | Ja           | Ja                                                   
    18 | repo-source                 | openSUSE-13.1-Source               | Nee          | Nee                                                  
    19 | repo-update                 | openSUSE-13.1-Update               | Ja           | Ja                                                   
    20 | repo-update-non-oss         | openSUSE-13.1-Update-Non-Oss       | Ja           | Ja                                                   
    21 | security                    | security                           | Nee          | Nee
    Moet ik nog meer info geven?
    How vivid is the letting go of knowledge, where experience ends.

    Desktop AMD A6-3650 APU with Radeon(tm) HD Graphics, Leap 42.1
    Laptop HP Compaq 6710b, 64-bit, openSUSE Tumbleweed

  2. #2
    Join Date
    Jun 2008
    Location
    Netherlands
    Posts
    24,851

    Default Re: Rootkit Hunter: is mijn systeem gehackt of niet?

    Ik zou me maar niet te veel zorgen maken. Het zijn ook alleen maar waarschuwingen.

    Overigens heb ik het idee dat de genoemde bestanden allemaal symbolic links zijn:
    Code:
    henk@boven:~> ls -l /bin/basename
    lrwxrwxrwx 1 root root 17 30 mrt 12:54 /bin/basename -> /usr/bin/basename
    henk@boven:~>
    Ik weet niet wat rkh daar mee doet. Misschien is dat op andere Linux systemen niet zo.
    Henk van Velden

  3. #3
    Join Date
    Jan 2009
    Location
    The Netherlands
    Posts
    370

    Default Re: Rootkit Hunter: is mijn systeem gehackt of niet?

    Dank je wel, Henk. Dat klinkt geruststellend. Ik heb een steekproef genomen en het blijkt dat naar deze programma's allemaal een snelkoppeling verwijst. Van /bin naar /usr/bin of van /usr/bin of naar /bin.

    Code:
    linux-3t47:/home/andre # ls -l /bin/basename                                                                                                lrwxrwxrwx 1 root root 17 25 mrt 06:22 /bin/basename -> /usr/bin/basename                                                                   
    linux-3t47:/home/andre # ls -l /bin/cat                                                                                                     
    lrwxrwxrwx 1 root root 12 25 mrt 06:22 /bin/cat -> /usr/bin/cat                                                                             
    linux-3t47:/home/andre # ls -l /bin/dmesg
    lrwxrwxrwx 1 root root 14 10 apr 19:38 /bin/dmesg -> /usr/bin/dmesg                                                                         
    linux-3t47:/home/andre # ls -l /bin/cp
    lrwxrwxrwx 1 root root 11 25 mrt 06:22 /bin/cp -> /usr/bin/cp                                                                               
    linux-3t47:/home/andre # ls -l /bin/fuser
    -rwxr-xr-x 1 root root 36160 27 sep  2013 /bin/fuser
    linux-3t47:/home/andre # ls -l /bin/md5sum 
    lrwxrwxrwx 1 root root 15 25 mrt 06:22 /bin/md5sum -> /usr/bin/md5sum
    linux-3t47:/home/andre # ls -l /bin/pkill
    -rwxr-xr-x 1 root root 23104 17 dec 16:58 /bin/pkill
    linux-3t47:/home/andre # ls -l  /bin/ps
    -rwxr-xr-x 1 root root 93312 17 dec 16:58 /bin/ps
    linux-3t47:/home/andre # ls -l  /bin/ps
    linux-3t47:/home/andre # ls -l  /usr/bin/ps
    lrwxrwxrwx 1 root root 7  7 jan 19:02 /usr/bin/ps -> /bin/ps
    Nu zeg je het zijn alleen maar warnings en geen errors, maar ik vind het wel fijn als ik begrijp wat er is veranderd aan de bestandspermissies van deze bestanden.
    Als rkhunter zegt:
    Code:
    1. /usr/bin/ldd [ Warning ]
    2. [08:04:02] Warning: The file properties have changed:
    3. [08:04:02] File: /usr/bin/ldd
    4. [08:04:02] Current inode: 793610 Stored inode: 793550
    wat is er dan veranderd aan de inode? Als je het antwoord weet, is dat makkelijk voor mij. Anders ga ik later op de dag nog even spitten.
    How vivid is the letting go of knowledge, where experience ends.

    Desktop AMD A6-3650 APU with Radeon(tm) HD Graphics, Leap 42.1
    Laptop HP Compaq 6710b, 64-bit, openSUSE Tumbleweed

  4. #4
    Join Date
    Jun 2008
    Location
    Netherlands
    Posts
    24,851

    Default Re: Rootkit Hunter: is mijn systeem gehackt of niet?

    Volgens mij kijkt rkhunter eerst naar de inode van het bestand. En dan naar de inode van wat er werkelijk geladen wordt. Die verschillen natuurlijk. En de permissies verschillen ook. In de symlink zelf staan altijd alle bitjes op (dat heeft geen betekenis, maar die bitjes zijn er nu eenmaal) en in het echte bestand staan ze zoals ze moeten staan:
    Code:
    henk@boven:~> ls -l /bin/basename
    lrwxrwxrwx 1 root root 17 30 mrt 12:54 /bin/basename -> /usr/bin/basename
    henk@boven:~> ls -l /usr/bin/basename
    -rwxr-xr-x 1 root root 31456 17 mrt 11:42 /usr/bin/basename
    henk@boven:~>
    Verschillend dus. Maar nogmaals ik ken de internals van rkhunter niet. Ook heb ik het niet geïnstalleerd, dus ik kan de man page niet raadplegen, wel op het internet, daar zie ik:
    One of the checks rkhunter performs is to compare various current file properties of various commands, against those it has previously stored. This command option causes rkhunter to update its data file of stored values with the current values.
    Kennelijk vergelijkt hij met de vorige run (om te ontdekken of er geknoeid is).

    Er is een optie --propupd die dat bijwerkt. Misschien is de bedoeling dat je dat direct na de installatie (ook na iedere pakket installatie?) draait om die database bij te werken, zodat later gewaarschuwd kan worden.

    Zoek eens naar uitgebreidere documentatie van rkhunter en gebruikservaringen.

    Overigens over de inodes: https://forums.opensuse.org/showthre...standen-inodes

    En als laatste, zolang je zeer voorzichtig bent met root gebruik loop je niet snel gevaar. Dat voorzichtig zijn is in dit geval vooral voorzichtig zijn met installeren. Houdt je repos beperkt en betrouwbaar. Installeren buiten de repos van RPMs en/of zelf gebouwd alleen als je het vertrouwt.
    Henk van Velden

  5. #5
    Join Date
    Jan 2009
    Location
    The Netherlands
    Posts
    370

    Default Re: Rootkit Hunter: is mijn systeem gehackt of niet?

    Oké, na enig gespit, blijkt internet vol te staan met mensen die schrikken van tig waarschuwingen van rkhunter.

    Voordat je rkhunter draait moet je als root de lijst van bestandspermissies updaten of eigenlijk: direct na iedere update vanuit de repo's. Anders kun je wijzigingen aan bestanden van crackers per ongeluk toevoegen aan de lijst van vertrouwde wijzigingen! Nooit geweten en ik ga dit zeker doen voortaan.
    Code:
    rkhunter --propupd
    Na het uitvoeren van dit commando, gaf de check van system commands geen enkele waarschuwing meer. Ik heb een berekend risico genomen, door dit commando voor het eerst uit te voeren, maar daar is het leven toch vol van.
    How vivid is the letting go of knowledge, where experience ends.

    Desktop AMD A6-3650 APU with Radeon(tm) HD Graphics, Leap 42.1
    Laptop HP Compaq 6710b, 64-bit, openSUSE Tumbleweed

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •