Rootkit Hunter: is mijn systeem gehackt of niet?

Beste mede susers,

Er is geen “security” sub forum, dus ik weet niet beter dan dit onderwerp hier te posten. Als het niet klopt, merk ik het wel.
Ik draaide rkhunter (de eerste keer dat ik dit doe op mijn OpenSUSE 13.1 systeem, sinds ik dit heb geïnstalleerd kort na verschijnen). Hij gaf bij 109 gescande toepassingen een waarschuwing. Dat heb ik eigenlijk nooit eerder gehad en weet eigenlijk niet goed wat de uitslag betekent (ik zit hier wel met een vreemde knoop in mijn buik).
Overigens zijn tijdens dezelfde check geen bekende rootkits gevonden en scans voor trojans en onbekende rootkits leverde ook nul besmettingen op.
Misschien dat iemand me hiermee kan helpen? Heel graag!

Ik gaf dit commando als root:

rkhunter --check

Dit is de samenvatting:

System checks summary
=====================


File properties checks...
    Required commands check failed
    Files checked: 184
    Suspect files: 109


Rootkit checks...
    Rootkits checked : 310
    Possible rootkits: 0


Applications checks...
    Applications checked: 5
    Suspect applications: 0

Hier is het complete log:
http://susepaste.org/72056445

Mijn systeem:
OpenSUSE 13.1
Kernel Linux 3.14.0-2.gfa168d7-desktop
KDE 4.13.0
Compleet bijgewerkt, gepatcht en geüpdate met zypper.

zypper lr
#  | Alias                       | Naam                               | Ingeschakeld | Vernieuwen
---+-----------------------------+------------------------------------+--------------+-----------
 1 | AMD/ATI-FGLRX               | AMD/ATI-FGLRX                      | Ja           | Ja        
 2 | Geo                         | Geo                                | Nee          | Nee       
 3 | KDE_current                 | KDE current                        | Ja           | Ja        
 4 | KDE_current_extra           | KDE current extra                  | Ja           | Ja        
 5 | Pipelight                   | Pipelight                          | Ja           | Ja        
 6 | devel:libraries:c_c++       | devel:libraries:c_c++              | Nee          | Nee       
 7 | download.opensuse.org-games | openSUSE BuildService - Spellen    | Nee          | Nee       
 8 | ftp.gwdg.de-suse            | Packman Repository                 | Ja           | Ja        
 9 | games:tools                 | games:tools                        | Nee          | Nee       
10 | google-chrome               | google-chrome                      | Ja           | Ja                                                   
11 | kernel                      | kernel                             | Nee          | Nee                                                  
12 | opensuse-guide.org-repo     | libdvdcss repository               | Nee          | Nee                                                  
13 | repo-debug                  | openSUSE-13.1-Debug                | Nee          | Nee                                                  
14 | repo-debug-update           | openSUSE-13.1-Update-Debug         | Nee          | Nee                                                  
15 | repo-debug-update-non-oss   | openSUSE-13.1-Update-Debug-Non-Oss | Nee          | Nee                                                  
16 | repo-non-oss                | openSUSE-13.1-Non-Oss              | Ja           | Ja                                                   
17 | repo-oss                    | openSUSE-13.1-Oss                  | Ja           | Ja                                                   
18 | repo-source                 | openSUSE-13.1-Source               | Nee          | Nee                                                  
19 | repo-update                 | openSUSE-13.1-Update               | Ja           | Ja                                                   
20 | repo-update-non-oss         | openSUSE-13.1-Update-Non-Oss       | Ja           | Ja                                                   
21 | security                    | security                           | Nee          | Nee

Moet ik nog meer info geven?

Ik zou me maar niet te veel zorgen maken. Het zijn ook alleen maar waarschuwingen.

Overigens heb ik het idee dat de genoemde bestanden allemaal symbolic links zijn:

henk@boven:~> ls -l /bin/basename
lrwxrwxrwx 1 root root 17 30 mrt 12:54 /bin/basename -> /usr/bin/basename
henk@boven:~>

Ik weet niet wat rkh daar mee doet. Misschien is dat op andere Linux systemen niet zo.

Dank je wel, Henk. Dat klinkt geruststellend. Ik heb een steekproef genomen en het blijkt dat naar deze programma’s allemaal een snelkoppeling verwijst. Van /bin naar /usr/bin of van /usr/bin of naar /bin.

linux-3t47:/home/andre # ls -l /bin/basename                                                                                                lrwxrwxrwx 1 root root 17 25 mrt 06:22 /bin/basename -> /usr/bin/basename                                                                   
linux-3t47:/home/andre # ls -l /bin/cat                                                                                                     
lrwxrwxrwx 1 root root 12 25 mrt 06:22 /bin/cat -> /usr/bin/cat                                                                             
linux-3t47:/home/andre # ls -l /bin/dmesg
lrwxrwxrwx 1 root root 14 10 apr 19:38 /bin/dmesg -> /usr/bin/dmesg                                                                         
linux-3t47:/home/andre # ls -l /bin/cp
lrwxrwxrwx 1 root root 11 25 mrt 06:22 /bin/cp -> /usr/bin/cp                                                                               
linux-3t47:/home/andre # ls -l /bin/fuser
-rwxr-xr-x 1 root root 36160 27 sep  2013 /bin/fuser
linux-3t47:/home/andre # ls -l /bin/md5sum 
lrwxrwxrwx 1 root root 15 25 mrt 06:22 /bin/md5sum -> /usr/bin/md5sum
linux-3t47:/home/andre # ls -l /bin/pkill
-rwxr-xr-x 1 root root 23104 17 dec 16:58 /bin/pkill
linux-3t47:/home/andre # ls -l  /bin/ps
-rwxr-xr-x 1 root root 93312 17 dec 16:58 /bin/ps
linux-3t47:/home/andre # ls -l  /bin/ps
linux-3t47:/home/andre # ls -l  /usr/bin/ps
lrwxrwxrwx 1 root root 7  7 jan 19:02 /usr/bin/ps -> /bin/ps

Nu zeg je het zijn alleen maar warnings en geen errors, maar ik vind het wel fijn als ik begrijp wat er is veranderd aan de bestandspermissies van deze bestanden.
Als rkhunter zegt:

  1. /usr/bin/ldd                                     Warning ]
  1. [08:04:02] Warning: The file properties have changed:
  1. [08:04:02]          File: /usr/bin/ldd
  1. [08:04:02]          Current inode: 793610    Stored inode: 793550

wat is er dan veranderd aan de inode? Als je het antwoord weet, is dat makkelijk voor mij. Anders ga ik later op de dag nog even spitten.

Volgens mij kijkt rkhunter eerst naar de inode van het bestand. En dan naar de inode van wat er werkelijk geladen wordt. Die verschillen natuurlijk. En de permissies verschillen ook. In de symlink zelf staan altijd alle bitjes op (dat heeft geen betekenis, maar die bitjes zijn er nu eenmaal) en in het echte bestand staan ze zoals ze moeten staan:

henk@boven:~> ls -l /bin/basename
lrwxrwxrwx 1 root root 17 30 mrt 12:54 /bin/basename -> /usr/bin/basename
henk@boven:~> ls -l /usr/bin/basename
-rwxr-xr-x 1 root root 31456 17 mrt 11:42 /usr/bin/basename
henk@boven:~>

Verschillend dus. Maar nogmaals ik ken de internals van rkhunter niet. Ook heb ik het niet geïnstalleerd, dus ik kan de man page niet raadplegen, wel op het internet, daar zie ik:

One of the checks rkhunter performs is to compare various current file properties of various commands, against those it has previously stored. This command option causes rkhunter to update its data file of stored values with the current values.

Kennelijk vergelijkt hij met de vorige run (om te ontdekken of er geknoeid is).

Er is een optie --propupd die dat bijwerkt. Misschien is de bedoeling dat je dat direct na de installatie (ook na iedere pakket installatie?) draait om die database bij te werken, zodat later gewaarschuwd kan worden.

Zoek eens naar uitgebreidere documentatie van rkhunter en gebruikservaringen.

Overigens over de inodes: https://forums.opensuse.org/showthread.php/488499-Korte-uitleg-Directories-meta-data-van-bestanden-inodes

En als laatste, zolang je zeer voorzichtig bent met root gebruik loop je niet snel gevaar. Dat voorzichtig zijn is in dit geval vooral voorzichtig zijn met installeren. Houdt je repos beperkt en betrouwbaar. Installeren buiten de repos van RPMs en/of zelf gebouwd alleen als je het vertrouwt.

Oké, na enig gespit, blijkt internet vol te staan met mensen die schrikken van tig waarschuwingen van rkhunter.

Voordat je rkhunter draait moet je als root de lijst van bestandspermissies updaten of eigenlijk: direct na iedere update vanuit de repo’s. Anders kun je wijzigingen aan bestanden van crackers per ongeluk toevoegen aan de lijst van vertrouwde wijzigingen! Nooit geweten en ik ga dit zeker doen voortaan.

rkhunter --propupd 

Na het uitvoeren van dit commando, gaf de check van system commands geen enkele waarschuwing meer. Ik heb een berekend risico genomen, door dit commando voor het eerst uit te voeren, maar daar is het leven toch vol van.