rkhunter

sanyi99

Sziasztok! Telepítettem az rkhunter nevű keresőt, és köv.találta: Checking system commands... /usr/bin/unhide.rb [ Warning ] Checking the local host... Performing group and account checks Checking for passwd file [ Found ] Checking for root equivalent (UID 0) accounts [ None found ] Checking for passwordless accounts [ None found ] Checking for passwd file changes [ Warning ] Checking for group file changes [ Warning ] Checking root account shell history files [ None found ] Performing system configuration file checks Checking for SSH configuration file [ Not found ] Checking for running syslog daemon [ Found ] Checking for syslog configuration file [ Found ] Checking if syslog remote logging is allowed [ Not allowed ] Performing filesystem checks Checking /dev for suspicious file types [ Warning ] Checking for hidden files and directories [ Warning ] Keresgéltem a neten, de sokmindent nem találtam az alkalmazás használatárol. Mit jelentenek ezek a "warning" veszélyeztetések? Mi a tehendő ilyenkor? Köszönöm a válaszokat, segítséget!

Kittus2

Megnézed a logokban, hogy pontosan mely fájlokra mondja hogy gyanús.

sanyi99

Kittus2Szia, még kezdő vagyok, megkerestem a rkhunter.log fájlt, de nincs jogosultságom megnyitni.. Hogy tudom megnyitni?

Kimarite

sanyi99sudo cat /var/log/rkhunter.log (sudo nano /var/log/rkhunter.log) Barátságosabb felületen: Alt + F2 -> gksu gedit /var/log/rkhunter.log vagy terminál: gksu gedit /var/log/rkhunter.log (szerk. :))

maat

sanyi99Egy rendszer biztonságos üzemeltetéséhez ismerned kell a működését. Amíg egy rootként olvasható fájl megnyitása gondot okoz, addig az rkhunter nem neked való. Az csupán a rendszeradminisztrátor munkáját segíti, de az alapos elméleti tudását semmilyen tekintetben nem pótolja. Ha a log fájlt nem érted, akkor még tanulnod kell a felelős rendszerüzemeltetéshez. Sajnos ez egy ilyen szakma (cserébe 20+ éves Unix-tudással is értelmezhető egy ilyen fájl, szóval nem rossz befektetés).

napközi

http://ubuntu.hu/node/14909 http://ubuntu.hu/node/32567 http://ubuntu.hu/node/11749 http://ubuntu.hu/node/14541 http://ubuntu.hu/node/9879 http://ubuntu.hu/node/3906

sanyi99

A rkhunter.log fájlt sikerült megnyitnom és ezeket találja veszélyesnek: /usr/bin/unhide.rb [ Warning ] [21:28:16] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text [21:31:58] Info: Starting test name 'filesystem' [21:31:58] Performing filesystem checks [21:31:58] Info: SCAN_MODE_DEV set to 'THOROUGH' [21:31:58] Checking /dev for suspicious file types [ Warning ] [21:31:58] Warning: Suspicious file types found in /dev: [21:31:58] /dev/.udev/rules.d/root.rules: ASCII text [21:31:58] Checking for hidden files and directories [ Warning ] [21:31:58] Warning: Hidden directory found: '/etc/.java' [21:31:58] Warning: Hidden directory found: '/dev/.udev' [21:31:58] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs' Valakinek mond ez valamit? :) Nekem totál érthetetlen.. :)

Kimarite

sanyi99Kicsit könnyebb lesz (előbb-utóbb meg kell értened úgyis, mert a kivételek megértésén túl rá kell keresni a jelentésben szereplő sorokra) http://translate.google.com/translate?hl=hu&sl=en&u=http://sourceforge.net/apps/trac/rkhunter/wiki/MPMOD http://translate.google.com/translate?hl=hu&sl=en&tl=hu&u=http%3A%2F%2Fsourceforge.net%2Fapps%2Ftrac%2Frkhunter%2Fwiki%2F Érdemesebb az eredeti angolt nézegetni.

Kimarite

sanyi99Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=607224 As for your warning, rkhunter simply informs you the unhide.rb executable located in /usr/bin/ is a ruby script. It is perfectly normal in that case and you can whitelist it in rkhunter.conf{,.local}. Ez teljesen normális, mint írja is. Warning: Suspicious file types found in /dev: http://www.linuxforums.org/forum/security/182987-rkhunter-warnings.html Ez is teljesen normális, mint írja is. És így keresel tovább (-> Google).

hepaly

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=607224 Utolsó mondat innen: "As for your warning, rkhunter simply informs you the unhide.rb executable located in /usr/bin/ is a ruby script. It is perfectly normal in that case and you can whitelist it in rkhunter.conf{,.local}."

hotplug

Gyerekek! Mennyi rkhunter című topik nyílik még, amiben ugyan azt a problémát(?) tárgyaljátok??? Tisztán és világosan le lett írva, többször és több helyen hogy ilyen esetben mi a teendő! De leírom még egyszer a gyengébbek kedvéért: SEMMI!!!!!!! Az rkhunter külön vizsgálja, hogy az általa ismert rootkit szignatúráka valamelyikét tartalmazza-e valamelyik rendszer fájl. Ha ott bármelyiknél a no felirat helyett figyelmeztetés van, akkor van probléma. Rootkit-et a legkönnyebben úgy lehet beszerezni, ha folyamatosan root-ként van a kedves tudatlan user bejelentkezve és olyan oldalakat látogat, ahova épeszű ember soha nem teszi be a lábát (böngészőjét), valamint feleslegesen nyitva hagy portokat. Nagyon sok r=1 user azt gondolja, hogy Linux alatt bármit megtehet, mert úgy hallotta, hogy az mennyire biztonságos. Ez így is van, de csak akkor, ha nem sz..juk le az alapvető biztonsági intézkedéseket. (tűzfal, portok lezárása, stb.) Ezekről is számtalan hozzászólás és téma található itt a fórumban, csak nem kellene lustának lenni és használni a fórum keresőjét, ami az oldal bal felső részén, szép piros színnel ki van emelve. Nyugodtan meg lehet sértődni, de azt is jelezni ha nincs igazam! Nem itt, privát üzenetben!

noorbertt

hotplugAzért hozzá tenném hogy az a kereső iszonyat sz@r... http://www.google.com/cse?cx=001330818967910958405%3A-ieu3eiduw4&ie=UTF-8&q=rkhunter&sa.x=0&sa.y=0#gsc.tab=0&gsc.q=rkhunter&gsc.page=1 2009-es az első találat. Bár tény hogy az elsőben ott a megoldás...

Kimarite

hotplugPersze, az OK-kat kell figyelni (én sem említettem). De tényleg rengeteg hasonló topik van, én is néztem. Kereső!! Ja és plusz "simán" a Google-ban (google.hu, google.com) is lehet keresni a "sorra" a log-ból. (nálam narancssárga színe van, de lehetne "piros" - de az nem Ubuntu, hanem ... Debian /is/ ;))

Kittus2

noorberttHát lehet, hogy nem rendezi neked azonnal időrendbe, de ettől még sztem nem sz@r, ha rögtön az első találatban megvan a válasz a kérdésre. Épphogy jónak mondanám. És hát azért, mert egy kijelentés mondjuk 2000 éve született (csak a példa kedvéért) és nem akarják neked újra és újra és újra és újra és újra ... leírni, attól még lehet időszerű napjainkban is függetlenül attól, hogy mikor írták azt le... Más oldalról megfogva a dolgot úgy vélem, hogy a gugli keresője még mindig piacvezető termék, de lehet, hogy tévedek és lemaradtam vmiről. Egyszóval nem értelek, hogy ez neked mitől sz@r? Az nem lehet, hogy a te készülékedben van vhol a hiba?

Phace

noorberttValaki anno panaszkodott, hogy a kereső ikonja nem jó, nem elég feltűnő. Ki lett cserélve. Most már a kereső motor is rossz. Mire kéne kicserélni? Bingre? Esetleg legyen saját motor, ami teljesen irreleváns találatokat dob?

noorbertt

Kittus2Nem a guugli a sz@r, hanem az itt lévő kereső. Azért van legfelül a válaszára a kérdés,mert én oda írtam a napokban(kérdeztem) és jött válasz, gondolván nem nyitok neki még egy topikot..jó lesz a 2009-es is... Viszont sok esetben kidobja legfelülre a régi témákat amik már idejét múltak és az átlag felhasználó nézi hogy neki miért nem jó amit a 2008-9es topikban írnak, majd nyit egy újabb témát hiszen nem találta meg a választ. Azért mert neked egyértelmű, nem jelenti azt hogy az idelátogatók nagy részének is az.

Htibi

PhaceLegyen Bing. Az biztosan megfelelne mindenkinek itt az oldalon! :-D

Kimarite

PhaceMár régebben eszembe jutott, hogy időrendileg rendszerezze a kereső a találatokat, legalábbis ésszerű és jó megoldás lenne; vagy lehessen egy lenyíló menüben választani; legfrissebb, legkeresettebb ... több nem jut eszembe. Drupal alatt ez nagyon nehéz? A Drupal (6) 7 "nagy"könyvbe belenézegettem, de nem igazán értek ehhez ..: http://nagygusztav.hu/tema/drupal

Htibi

noorberttTévedések elkerülése végett, az oldalba épített keresőt a gúgli működteti. Akkor mi is a rossz?

noorbertt

HtibiNem szúrja ki a szemem véletlen sem...:) Mondjuk elkelne egy idő szerinti keresés. Az van a guuglinál jól tudom?.

Kittus2

noorbertt"Mondjuk elkelne egy idő szerinti keresés. Az van a guuglinál jól tudom?." Igen, van a googlenál ilyen, de őszintén szólva felesleges. Nem fog közelebb vinni a megoldáshoz, ha a kulcsszó nem vagy csak részben megfelelő, ráadásul kulcsszavakkal szűkítve a keresést biztosabban célt érsz mint idő szerinti rendezéssel vagy idő szerinti kereséssel (amivel sztem kizársz és/vagy hátrébb sorolnál egy csomó olyan potenciális megoldást, ami segíthetne neked a problémád megoldásában) Zárójelben jegyzem meg hogy az általad előzőleg említett példa is ezt támasztja alá...

Kimarite

maatNincs 20 éve (még) szerintem :), de javaslatot tettem neki a - a megnyitásra (szerkeszteni is lehet, de ez log, tehát felesleges) - a keresésre (a google-ban, bing-ben, stb. az időpont nélkül kell :) keresni a sort a log fájlból) Kíváncsi lehet, de ha valamit nem ért, inkább kérdezzen (itt és sorra), én is azt mondom.

rapfen

maat(Régebben az rkhunter.log fájl tulajdonosa a root volt. Ez gondolom ma sem változott. A csoport pedig az adm volt, aki olvashatta. Tehát ha csak bele akar nézni, egyszerűen hozzá kell a usert adni a csoporthoz, és utána minden trükközés nélkül bele lehet pillantani. Ha jól gondolom. Kérdés a kérdezőnek milyen csoporttagságai vannak.)

Következő oldal »