Acusações do rkhunter

KelvinVicente
(usa Debian)

Enviado em 17/07/2008 - 18:44h

Olá a todos,

Instalei hoje o rkhunter e o mesmo acusou o seguinte:

* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ Warning! ]
---------------
/etc/.pwd.lock /dev/.static
/dev/.udev
/dev/.initramfs
/dev/.initramfs-tools
---------------
Please inspect: /dev/.static (directory) /dev/.udev (directory) /dev/.initramfs (directory)

Verifiquei e vi que alguns são arquivos e outros diretorios, contento alguns executaveis.

Achei estranho, em especial, o conteudo do /dev/.udev
este diretorio contem mais dois diretorios (db e failed) e um arquivo chamado uevent_seqnum

o db contem diversos executaveis, sendo que a lista ficaria um pouco extensa para postar aqui.

Peço desculpas por estar meio confuso a forma da pergunta e o assunto, porem realmente não sei como formular tal pergunta.

Se tiver como alguem me ajudar orientando como eu poderia passar as informações.
Acredito que as pastas oferecem sim riscos pois todos sao de propriedade do root com modificações que eu não fiz.

Agradeço desde já a quem vir a ajudar e novamente peço desculpas por não saber como fazer tal pergunta.

[]s a todos

iz@bel
(usa Ubuntu)

Enviado em 17/07/2008 - 19:03h

Olá amigo!
Esse relatório é meio confuso mesmo...
Mas pelo que entendi, vc deve primeiro olhar o arquivo:
/var/log/rkhunter.log

No final, onde tem o seguinte:

System checks summary
=====================

File properties checks...
Files checked: 132
Suspect files: 0

Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0

Applications checks...
Applications checked: 5
Suspect applications: 0

Se aparecer arquivos suspeitos, primeiro verifique se não foi vc mesmo que alterou modificando o sistema...
Eu só me preocuparia se aparecer algum possível rootkit e não com os warnings!
[]'s

KelvinVicente
(usa Debian)

Enviado em 17/07/2008 - 19:12h

Oi Izabel, tudo bem? :-)

Então, mas que as modificações das pastas aparecem datadas de ontem ou hoje, sendo que nem mesmo atualizações eu fiz.

Apesar que pode ser só parranoia minha mesmo. o.O

Mas agradecido pela ajuda. :-)

[]s

iz@bel
(usa Ubuntu)

Enviado em 17/07/2008 - 19:31h

Oi!
Tu tem firewall?

O meu /var/log/rkhunter.log no ubuntu sem firewall:

Esse foi o meu /var/log/rkhunter.log [só os Warning ]:
[14:58:50] Checking '/etc/xinetd.d/vmware-authd' for enabled services [ Warning ]
[14:58:50] Checking for enabled xinetd services [ Warning ]
[14:58:50] Warning: Found enabled xinetd service: /etc/xinetd.d/vmware-authd
[14:59:07] Checking /dev for suspicious file types [ Warning ]
[14:59:07] Warning: Suspicious file types found in /dev:
[14:59:07] /dev/shm/pulse-shm-3809702359: data
[14:59:08] Checking for hidden files and directories [ Warning ]
[14:59:08] Warning: Hidden directory found: /etc/.java
[14:59:08] Warning: Hidden directory found: /dev/.static
[14:59:08] Warning: Hidden directory found: /dev/.udev
[14:59:08] Warning: Hidden directory found: /dev/.initramfs


Depois ficou crito, apareceu um possível rootkit
Aí eu formatei e coloquei o Debian mais o firewall
Guarddog. Aí fica tudo bonitinho sempre que uso o rkhunter, como tá no meu post anterior. Já faz, acho que um mês ou mais que instalei o Debian e o Guarddog...

[]'s

KelvinVicente
(usa Debian)

Enviado em 17/07/2008 - 19:52h

Eu verifiquei aqui o guarddog, só que ele é pra KDE e atualmente tenho usado o gnome. :-)

vou dar uma pesquisada sobre os firewalls para gnome, eu ja venho precisando formatar minha máquina pois vou instalar um outro s.o aqui e preciso tambem reconfigurar algumas coisas. dai ja vejo tudo certinho ^c^

[]s

iz@bel
(usa Ubuntu)

Enviado em 17/07/2008 - 20:41h

Tou usando o Guarddog no Gnome e E17

Faça o teste antes e depois do guardog:
http://www.pcflank.com/trojans_test1.htm
______________________
Com guardog
______________________
Results of the test:
Check for vulnerabilities of your computer system to remote attacks

Safe


Trojan horse check

Safe


Browser privacy check

Danger!
_____________________

O sem o guarddog num quero fazer não :)
[]'s