ubuntuusers.de

via DuckDuckGo

rkhunter / chkrootkit - tcpd Warnung

Status: Gelöst | Ubuntu-Version: Xubuntu 17.04 (Zesty Zapus)
Antworten |

buxhund

Anmeldungsdatum:
23. Juli 2015

Beiträge: 58
Zitieren
16. November 2017 22:16

Hallo,

habe interessehalber mal rkhunter und chkrootkit ausprobiert und bekomme prompt folgende Warnungen:

rkhunter:

 Performing file properties checks
    ...
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/tcpd                                           [ Warning ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    ...

chkrootkit 

...
Checking `sendmail'...                                      not infected
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          INFECTED
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
...

Keine Fremdquellen und keine Idee, auf welchem Wege ich mir sonst ein Rootkit oder was auch immer eingefangen habe könnte. Möglicherweise False Positive? Wie könnte man das überprüfen? Hat jemand das gleiche Problem? Danke vorab für Antworten.

redknight Team-Icon

Moderator & Supporter
Avatar von redknight

Anmeldungsdatum:
30. Oktober 2008

Beiträge: 21861

Wohnort: Lorchhausen im schönen Rheingau
Zitieren
16. November 2017 22:25

Ohne zu wissen, warum die Tools anschlagen (stichwort Logfile) hilft dir diese Ausgabe nicht weiter.

buxhund

(Themenstarter)

Anmeldungsdatum:
23. Juli 2015

Beiträge: 58
Zitieren
16. November 2017 22:46

Das Logfile von rkhunter zeigt Folgendes:

[22:34:33]   /usr/sbin/tcpd                                  [ Warning ]
[22:34:33] Warning: The file properties have changed:
[22:34:33]          File: /usr/sbin/tcpd
[22:34:33]          Current inode: 3407875    Stored inode: 3413408

Für chkrootkit finde ich leider kein logfile. Die Manpage sagt:

DESCRIPTION
       chkrootkit  examines  certain  elements of the target system and deter‐
       mines whether they have been tampered with. Some tools which chkrootkit
       applies  while  analyzing  binaries  and  log  files  can  be  found at
       /usr/lib/chkrootkit.

... aber in besagtem Ordner liegen nur irgendwelche Binärdateien, mit denen ich nichts anfangen kann.

sebix Team-Icon

Ehemalige

Anmeldungsdatum:
14. April 2009

Beiträge: 5584
Zitieren
17. November 2017 10:59

buxhund schrieb:

Das Logfile von rkhunter zeigt Folgendes:

[22:34:33]   /usr/sbin/tcpd                                  [ Warning ]
[22:34:33] Warning: The file properties have changed:
[22:34:33]          File: /usr/sbin/tcpd
[22:34:33]          Current inode: 3407875    Stored inode: 3413408

Die Datei liegt jetzt woanders als "vorher" (bei der letzten Ueberpruefung). Das kann jetzt sehr viele Gruende haben ☺

buxhund

(Themenstarter)

Anmeldungsdatum:
23. Juli 2015

Beiträge: 58
Zitieren
17. November 2017 20:41

So, da ich ohnehin vorhatte, auf 17.10 upzudaten, hab ich das jetzt mal gemacht. Von sauberer Live-CD (Checksumme der Iso-Datei hab ich vor dem Brennen überprüft) gestartet, alle Partitionen gelöscht, neu angelegt, formatiert, System frisch installiert.

Auf der frischen installation hat rkhunter an "tcpd" nichts mehr auszusetzen, findet jedoch etwas anderes :

[20:26:19]   /usr/bin/lwp-request                            [ Warning ]
[20:26:19] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable

...

Checking for suspicious shared memory segments  [ Warning ]
[20:29:20] Warning: The following suspicious shared memory segments have been found:
[20:29:20]          Process: /usr/bin/xfce4-terminal    PID: 10822    Owner: j
[20:29:20]          Process: /usr/bin/gnome-software    PID: 1403    Owner: j
[20:29:20]          Process: /usr/lib/firefox/firefox    PID: 1645    Owner: j
[20:29:20]          Process: /usr/bin/gnome-software    PID: 1403    Owner: j
[20:29:20]          Process: /usr/lib/firefox/firefox    PID: 1645    Owner: j

Chkrootkit hingegen ist weiterhin der Ansicht

Checking `tcpd'...                                          INFECTED

Hm. Also also was auch immer da los ist, ich gehe jetzt einfach mal davon aus, dass man das getrost vergessen kann. Oder? Danke an alle.

fandPfand

Anmeldungsdatum:
28. Oktober 2017

Beiträge: 83
Zitieren
17. November 2017 22:57

Hallo buxhund,

mit chkrootkit hilft Dir vielleicht dieser link

Die rkhunter-Warnung, dass "/usr/bin/lwp-request" ein Script ist, kann man ignorieren: "/usr/bin/lwp-request" ist halt nun mal ein Script. Die Warnung kannst Du ggf. in "/etc/rkhunter.conf" abstellen (bei "SCRIPTWHITELIST", da sind auch schon ein paar Einträge, z.B. für egrep oder which). "shared memory segment"-warnings tauchen meist dann auf, wenn irgendwelche Programme geöffnet sind. Auch dies könnte fürs jeweilige Programm gewhitelistet werden ("ALLOWIPCPROC"). Oder halt die Programme schließen, wenn rkhunter läuft. Dein zuletzt geposteter rkhunter-Befund ist nach meiner Erfahrung ganz normal.

buxhund

(Themenstarter)

Anmeldungsdatum:
23. Juli 2015

Beiträge: 58
Zitieren
20. November 2017 15:01

Hallo buxhund,

mit chkrootkit hilft Dir vielleicht dieser link

Habe die Anleitung aus dem Link mal befolgt. Zusätzlich auch noch mal von Live-CD gebootet und die Checksumme von tcpd auf der Festplatte mit der von der CD verglichen. Passt alles. Damit lege ich die Sache mal ad acta.

Besten Dank!
Antworten |