rkhunter В чем проблема?

kovik65 · December 29, 2010, 11:49pm

openSUSE 11.3. Rootkit Hunter 1.3.8
После rkhunter --propupd в файле /var/lib/rkhunter/db/rkhunter.dat следующее:

Arch:i686
OS:openSUSE 11.3 (i586)
Prelinked:No
Hash:/usr/bin/md5sum
Pkgmgr:RPM
Attributes:Stored
File:/usr/bin/awk:d41d8cd98f00b204e9800998ecf8427e:146877:0644:0:0:0:1278330232:gawk:
File:/usr/bin/basename::140453:0777:0:0:13:1289318757:coreutils:
File:/usr/bin/chattr:6999820fbe75dfa39db66cf0ae3cc24b:154965:0755:0:0:9848:1278332597:e2fsprogs:
File:/usr/bin/chroot:d63e0b5b4afff2bcc70f0ccda4741efd:154394:0755:0:0:22252:1289318716:coreutils:
File:/usr/bin/csh::148194:0777:0:0:9:1278328896:tcsh:
File:/usr/bin/curl:a5d8e02c46d7d0e7f672f366bbd027ee:141852:0755:0:0:120704:1278366583:curl:
File:/usr/bin/cut:efcc7fb1e3f6dceff9577ddc5bdbcb90:149160:0755:0:0:38696:1289318719:coreutils:
File:/usr/bin/diff:043380eaa57a9955aedcd61f23fa7253:137541:0755:0:0:87944:1278329373:diffutils:
File:/usr/bin/dirname:6d3965a137aa1dd93ce1c9519da4aa1e:153816:0755:0:0:22244:1289318720:coreutils:
File:/usr/bin/du:51884e1c1a13dd97ed475bcc91e25641:146937:0755:0:0:96200:1289318721:coreutils:
File:/usr/bin/ed::149328:0777:0:0:7:1278328090:ed:
File:/usr/bin/egrep::146753:0777:0:0:10:1278328360:grep:
File:/usr/bin/env:1db90d2877f96b69bb47d98021a204ac:142351:0755:0:0:22248:1289318721:coreutils:
File:/usr/bin/fgrep::147048:0777:0:0:10:1278328360:grep:
File:/usr/bin/file:15fbcd3ead5a3d2b50328b349684d492:142347:0755:0:0:13964:1277997481:file:
File:/usr/bin/find::146767:0777:0:0:9:1278328385:findutils:
File:/usr/bin/grep::147007:0777:0:0:9:1278328360:grep:
File:/usr/bin/groups:53189d79ef426c499fa547155fc1e86b:155241:0755:0:0:22272:1289318722:coreutils:
File:/usr/bin/head:621d20ef8eb8300b113d89c878afdc18:140741:0755:0:0:34580:1289318722:coreutils:
File:/usr/bin/id:7c49a7e3623e4f99df11e3c6052bd155:141126:0755:0:0:26380:1289318722:coreutils:
File:/usr/bin/killall:c61393f0bd0669ee5ec037c2c04ddbdc:146762:0755:0:0:18452:1278328634:psmisc:
File:/usr/bin/last:cdfcb341e0139484d08af18ae091312a:143406:0755:0:0:18120:1280335571:sysvinit-tools:
File:/usr/bin/lastlog:cfa2405f5ed82b7421b3f985445642cb:146946:0755:0:0:9840:1278331951:login:
File:/usr/bin/ldd:978b8660c8ae1a8e2998ad2fd00f16bd:141015:0755:0:0:5775:1288173177:glibc:
File:/usr/bin/less:69d4e1f586e7fcaf869b2d74bf9988ed:154800:0755:0:0:149676:1278329617:less:

После rkhunter --sk -c

Performing file properties checks
    Checking for prerequisites                                OK ]
    /usr/bin/awk                                              OK ]
    /usr/bin/basename                                         OK ]
    /usr/bin/chattr                                           Warning ]
    /usr/bin/chroot                                           Warning ]
    /usr/bin/csh                                              OK ]
    /usr/bin/curl                                             Warning ]
    /usr/bin/cut                                              Warning ]
    /usr/bin/diff                                             Warning ]
    /usr/bin/dirname                                          Warning ]
    /usr/bin/du                                               Warning ]
    /usr/bin/ed                                               OK ]
    /usr/bin/egrep                                            OK ]
    /usr/bin/env                                              Warning ]
    /usr/bin/fgrep                                            OK ]
    /usr/bin/file                                             Warning ]
    /usr/bin/find                                             OK ]
    /usr/bin/grep                                             OK ]
    /usr/bin/groups                                           Warning ]
    /usr/bin/head                                             Warning ]
    /usr/bin/id                                               Warning ]
    /usr/bin/killall                                          Warning ]
    /usr/bin/last                                             Warning ]
    /usr/bin/lastlog                                          Warning ]
    /usr/bin/ldd                                              OK ]
    /usr/bin/less                                             Warning ]

В /var/log/rkhunter.log (для примера смотрим один файл, остальной вывод аналогичен)

[01:24:26] Warning: Package manager verification has failed:
[01:24:26]          File: /usr/bin/less
[01:24:26]          The file hash value has changed
[01:24:26]          The file size has changed

Данные в файле /var/lib/rkhunter/db/rkhunter.dat

File:/usr/bin/less:69d4e1f586e7fcaf869b2d74bf9988ed:154800:0755:0:0:149676:1278329617:less:

не совпадают с:

client:/ # md5sum /usr/bin/less
9ffb15f7ce809bc590b2eaeda6f69bcb  /usr/bin/less
client:/ # ls -l /usr/bin/less
-rwxr-xr-x 1 root root 155588 Июл  5 15:33 /usr/bin/less

Где собака зарыта? Руткиты и мистика не рассматриваются

kovik65 · December 30, 2010, 12:51pm

Где собака зарыта - нашел, но вот до причины такого поведения пока не докопался, только предположения могу строить lol!
Руткиты и другая нечисть почти отметаются. Система установлена пару недель назад. Машина используется дома, как резервная, в основном для TV, video и интернет-радио.
rkhunter для своей базы берет данные из базы rpm (вроде так). Вот ее и решил проверить **rpm -Va **. Выдало кучу сообщений от измененных hash суммах и размерах файлов. При этом проблем внешних с использованием системы, установкой и удалением пакетов не наблюдалось.
Восстановил систему из бекапа. Проблема пропала, все hash суммы и размеры в базе rkhuter совпадают теперь с выводом md5sum и ls -l.
Почти мистика, что было до этого. Видимо, Новый год, барабашки и всякое такое.