Rkhunter: Falsos positivos rootkit

Rootkit é um tipo de software, muitas das vezes malicioso, projetado para esconder a existência de certos processos ou programas de métodos normais de detecção e permitir contínuo acesso privilegiado a um computador.
Quando algum sistema operacional efetua um pedido de leitura de um arquivo, o rootkit intercepta os dados que são requisitados e faz uma filtragem dessa informação, deixando o sistema ler apenas arquivos não infectados. Desta forma, o antivírus ou qualquer outra ferramenta ficam impossibilitados de encontrar o arquivo malicioso.



 rkhunter howto "depuração"

  • Não tenha medo das advertências rkhunter no terminal.
  • Usando rkhunter é sempre um trabalho em andamento.
  • Para instalar rkhunter: 
  sudo apt-get install rkhunter

  • Antes de executar o rkhunter você precisará preencher o banco de dados propriedades do arquivo, executando o seguinte comando: rkhunter --propupd Você não se esqueça de definir rkhunter em sysconfig para executar o --propupd cada novo software tempo está instalado, ou então você vai ter "falsos positivos "depois de cada atualização de software e sistema. 
  sudo rkhunter --propupd

  • Para executar rkhunter --propupd, automático após atualizações de software, adicionar a linha APT_AUTOGEN = "yes" para / etc / default / rkhunter (este é lido por /etc/apt/apt.conf.d/90rkhunter).
  • Espere até que ela seja concluída reunindo os novos valores, em seguida, sair. Isso deve eliminar todos os avisos, exceto os arquivos ocultos relacionados com a pasta / dev. Eles aparecem ocasionalmente e desaparecem com a próxima reinicialização do sistema.
  • Além disso, a opção de --versioncheck rkhunter si vai indicar se uma nova versão está disponível. 
  sudo rkhunter --versioncheck

  • A primeira execução de 'rkhunter' após a instalação poderá dar algumas mensagens de advertência. Eles são é de alguma forma normal. Mesmo no sistema instalado limpo, sem nenhum software adicional instalado, estes avisos ocorrer. Você poderia dar uma no FAQ de rkhunter. Eu tenho essas advertências sobre Xubuntu beta, instalação limpa: 
  sudo rkhunter --checkall

  • Advertências:
/ Usr / bin / mail

/ Usr / bin / BSD / mail-x

verificação / dev para susp. arquivos

verificação de arquivos ocultos e direta

/ Usr / bin / lwp-request

  • É possível para um banco de dados gerenciador de pacotes para tornar-se maliciosamente corrompido. Rkhunter só pode informar sobre as mudanças, mas não sobre o que causou a mudança, é reativo.
  • Ajude os usuários Rootkit Hunter nas rkhunter usuários lista de discussão. a lista de email rkhunter É também uma fonte de informação sobre "falsos positivos".
  • "Intruder Detection Checklist". Esta lista está disponível através da lista de detecção de intrusos
  • O que fazer com os avisos "comuns" como:
Aviso: diretório oculto encontrado: /dev/.static

Aviso: diretório oculto encontrado: /dev/.udev

Aviso: diretório oculto encontrado: /dev/.initramfs

Para evitar esses avisos, você pode reconfigurar rkhunter ignorar esses arquivos via whitelisting esses avisos. Edite o arquivo rkhunter.conf: gedit /etc/rkhunter.conf e remover o # na frente dessas linhas:
# ALLOWHIDDENDIR = / dev / .udev

# ALLOWHIDDENDIR = / dev / .static

# ALLOWHIDDENDIR = / dev / .initramfs

ALLOWHIDDENDIR = / dev / .udev

ALLOWHIDDENDIR = / dev / .static

ALLOWHIDDENDIR = / dev / .initramfs

  • Linkage para depurar rkhunter via watchdog: depuração ligação Você pode desativar o 'os_specific' check in seu arquivo rkhunter.conf. Adicioná-lo à DISABLE_TESTS list.You pode parar rkhunter de verificar estes editando /etc/rkhunter.conf
Un-comentar as linhas ALLOWHIDDENDIR e ALLOWHIDDENFILE relacionados.

Fonte: https://help.ubuntu.com/community/RKhunter
Ps.: Livre tradução do Google.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Desbloquear chaveiro de sessão Ubuntu - Chrome / Chromium

Imagem
Erro acontece ao usar o Google Chrome. Ps.: O Usuário Nomade nos comentários relatou que em ambiente Gnome o comando abaixo remove o ambiente do mesmo. Notar que ao executar o comando de remoção do keyring, não esteja sendo removidos outros pacotes. Certifique-se de que só o gnome-keyring esteja sendo removido. Saiba como corrigir . Atualizando: No terminal digite e execute o comando: sudo apt-get remove gnome-keyring Desinstalar gnome-keyring e suas dependências: sudo apt-get remove --auto-remove gnome-keyring Para ter de volta:  sudo apt-get install gnome-keyring O comando acima resolve o problema. A solução abaixo costuma não ter efeito, como relatado nos comentários. Mas se quiser tentar, fique a vontade. Realmente é bem chato abrir o Chrome, e do nada qualquer uso do programa fica impossibilitado até que digite uma senha para desbloquear um alerta que aparece. Bom, a solução para este problema, é só abrir o ”Senhas e chaves”…  Clique no cadeado e l
Continue lendo>>

Recuperar o Grub Ubuntu, Linux Mint, após instalação do Windows

Imagem
Um dos acontecimentos mais frequentes com os usuários de dual boot é a "perca" do Grub. Um usuário tem dois sistemas operacionais, Windows e Ubuntu, por exemplo. Isso acontece quando você precisa, por exemplo, formatar seu velho e defeituoso Windows, que ao ser reinstalado apaga a MBR, local onde é guardada informações do disco como ordem de boot, partições etc. O nosso GRUB fica localizado na MBR, então para recuperá-lo de forma simples e fácil siga as instruções a seguir: Você vai precisar de um CD-Live (no meu caso utilizei a versão 17.1 do Linux Mint). Depois de carregado o Live-CD, entre no seu terminal e digite os comandos a seguir: 1. Verificando a partição referente ao seu GNU/LINUX: $ sudo fdisk -l (caso esteja utilizando outro SO que não o Ubuntu, faça o login como ROOT) 2. Vamos montar o seu sistema de arquivos na sua partição GNU/Linux no diretório /mnt. $ sudo mount -t ext4 /dev/sda6 /mnt Neste caso o meu sistema de arquivos é EXT4 e a minha partição Linux
Continue lendo>>

Guardião Itaú (Warsaw) no Ubuntu / Linux Mint

Imagem
Guia para instalação do Guardião Itaú (programa Warsaw, pacote warsaw_setup_64.deb) no Linux Mint 17 / Ubuntu 14.04 e posteriores. Obs.: Só tem funcionado no Navegador Chrome. Não me pergunte o porque, rs, e nem como contornar, rs2. Sobre o Warsaw, pré-requisitos e outras informações O Warsaw é um software de segur ança. Sua função é aumentar a segurança dos usuários de bancos contra fraudes eletrônicas durante as transações online. O Warsaw impede que fraudadores, programas de terceiros e softwares maliciosos capturem informações e dados privados dos usuários, como números de senhas bancárias e movimentação de valores [Fonte:  gastecnologia.com/faq ]. Requer Ubuntu 64-bit  (para Ubuntu 32-bit, instalar pacote warsaw_setup_32.deb). Não requer o Java.
Continue lendo>>