Meu linux está infectado? '-' [RESOLVIDO]

25. Re: Meu linux está infectado? '-' [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 29/11/2018 - 12:43h

Henrique-RJ escreveu:

Ariiel escreveu:

Manjaro.
Não pode ser, a única coisa que tenho da AUR é o pacote ttf-ms-fonts para ter acesso a algumas fontes da Microsoft.
O que você achou de contaminação?
Tenho duas máquinas com Manjaro. Passei o rkhunter na máquina nova que instalei não faz nem 1 semana.

Rootkit checks...
Rootkits checked : 501
Possible rootkits: 3

Deu o mesmo resultado na outra máquina ?

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

Basicamente a mesma coisa, porque eu fiz algumas modificações no sistema e o rkhunter acaba interpretando como possíveis rootkits, está mais pra falso positivo que rootkits!

0 0

Quote

26. Re: Meu linux está infectado? '-' [RESOLVIDO]

Henrique-RJ
(usa Outra)

Enviado em 29/11/2018 - 14:17h

Ariiel escreveu:

Basicamente a mesma coisa, porque eu fiz algumas modificações no sistema e o rkhunter acaba interpretando como possíveis rootkits, está mais pra falso positivo que rootkits!

Acho que tem razão, me precipitei em afirmar que estava com o sistema infectado talvez induzido por resultados semelhantes em ferramentas de desinfecção para o Windows.

Aqui rodei o rkhunter que achou dois " warning " ou vulnerabilidades relacionadas a SSH que pesquisando consegui configurar para eliminar elas, não aparecendo mais.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

0 0

Quote

27. Re: Meu linux está infectado? '-' [RESOLVIDO]

Henrique-RJ
(usa Outra)

Enviado em 29/11/2018 - 14:24h

Mas se no meu resultado eu encontrasse além dos " warning " esses " found " do seu com certeza iria investigar inclusive mais detalhes no log do escaneamento.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

0 0

Quote

28. Re: Meu linux está infectado? '-' [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 29/11/2018 - 17:31h

Henrique-RJ escreveu:

Ariiel escreveu:

Basicamente a mesma coisa, porque eu fiz algumas modificações no sistema e o rkhunter acaba interpretando como possíveis rootkits, está mais pra falso positivo que rootkits!

Quando eu refiz a busca sem nenhum aplicativo aberto, exemplo: player de música e firefox, logo foi constatado como 0 rootkits, os 3 warnings aparecem pra todo mundo. Eu já pesquisei e é um falso positivo, tem a ver com:
/usr/bin/egrep
/usr/bin/fgrep
/usr/bin/ldd

Sempre vai dar esses warnings.

Mas fiquei curioso, como você desativou o SSH?

0 0

Quote

29. Re: Meu linux está infectado? '-' [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 29/11/2018 - 17:33h

Henrique-RJ escreveu:

Mas se no meu resultado eu encontrasse além dos " warning " esses " found " do seu com certeza iria investigar inclusive mais detalhes no log do escaneamento.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

No meu apareceu isso ao refazer:
[ariel@Ariel-PC ~]$ sudo rkhunter -c --rwo
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
Warning: Hidden file found: /etc/.updated: ASCII text
Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, max compression, from Unix, original size 22
Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, max compression, from Unix, original size 19

0 0

Quote

30. Re: Meu linux está infectado? '-' [RESOLVIDO]

Henrique-RJ
(usa Outra)

Enviado em 29/11/2018 - 19:15h

Ariiel escreveu:

Mas fiquei curioso, como você desativou o SSH?

Foi só encontrar o arquivo sshd_config em /etc/ssh/ e alterar dois itens do script e pronto, não apareceu mais o aviso no escaneamento do rkhunter.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

0 0

Quote

31. Re: Meu linux está infectado? '-' [RESOLVIDO]

Henrique-RJ
(usa Outra)

Enviado em 29/11/2018 - 19:29h

Ariiel escreveu:

No meu apareceu isso ao refazer:
[ariel@Ariel-PC ~]$ sudo rkhunter -c --rwo
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
Warning: Hidden file found: /etc/.updated: ASCII text
Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, max compression, from Unix, original size 22
Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, max compression, from Unix, original size 19

É só pesquisar ...

Pelo jeito está em ordem.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

0 0

Quote

32. Re: Meu linux está infectado? '-' [RESOLVIDO]

Henrique-RJ
(usa Outra)

Enviado em 29/11/2018 - 19:58h

Henrique-RJ escreveu:

[quote]Ariiel escreveu:

Mas fiquei curioso, como você desativou o SSH?

Foi só encontrar o arquivo sshd_config em /etc/ssh/ e alterar dois itens do script e pronto, não apareceu mais o aviso no escaneamento do rkhunter.

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
Protocol 2

Veja acima os que ativei nos quotes.

" O que habita no esconderijo do Altíssimo e descansa à sombra do Onipotente diz ao Senhor: Meu refúgio e meu baluarte, Deus meu, em quem confio." Salmos 91:1-2

0 0

Quote

33. Re: Meu linux está infectado? '-' [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 30/11/2018 - 02:00h

Henrique-RJ escreveu:

Henrique-RJ escreveu:

[quote]Ariiel escreveu:

Mas fiquei curioso, como você desativou o SSH?

Foi só encontrar o arquivo sshd_config em /etc/ssh/ e alterar dois itens do script e pronto, não apareceu mais o aviso no escaneamento do rkhunter.

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
Protocol 2

Eu pesquisei, mas achei alguns sites apenas com Ubuntu e Fedora, então pensei que no Manjaro pudesse ser diferente.

0 0

Quote