23 avisos "Warning" en rkhunter (solucionado)

Imagen de gledof
0 puntos

Hola, hace 30 minutos instale desde cero Xubuntu 12.04 en la maquina de un amigo. Despues de la instalacion ejecute el script de iptables y conecte la PC a internet. Lo primero que instale fue (buil-essential, Alien, chkrootkit y rkhunter y clamav), corri rkhunter y solo mostro el conocido falso positivo en "/usr/bin/unhide.rb"
Luego actualice desde Synaptic, reinicie el equipo y volvi a correr rkhunter, pero esta vez con una sorpresa:

$ sudo rkhunter -c
[sudo] password for jose:
[ Rootkit Hunter version 1.3.8 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ Warning ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ Warning ]
/usr/bin/dpkg-query [ Warning ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ Warning ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ Warning ]
/usr/bin/pgrep [ Warning ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/rpm [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ Warning ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ Warning ]
/usr/bin/sudo [ Warning ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ Warning ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ Warning ]
/usr/bin/w [ Warning ]
/usr/bin/watch [ Warning ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide.rb [ Warning ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ OK ]
/usr/bin/heirloom-mailx [ OK ]
/usr/bin/w.procps [ Warning ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ Warning ]
/sbin/ifup [ Warning ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ Warning ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ Warning ]
/bin/bash [ Warning ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ Warning ]
/bin/kill [ Warning ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ Warning ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/dash [ OK ]

System checks summary
=====================
File properties checks...
Required commands check failed
Files checked: 135
Suspect files: 23

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Como se ve en el reporte final hay 23 advertencias aunque cero rootkits, la reinstalacion de Xubuntu fue porque habia aparecido "Suckit Rootkit" en /usr/bin. Probe este rootkit creando un par de archivos de extencion .mem y .xrk Si estos no eran visibles se supone que el rootkit esta, pero ambos archivos aparecian cuando listaba el directorio ( ls -l ). Ante la duda reinstale el sistema pero aparentemente con peor resultado.
Me preguntos que tan confiable es rkhunter y si debo preocuparme por todas estas advertencias.

Imagen de Goyo
+1
0
-1

¿Qué esperas? Si haces una actualización es normal que algunos archivos cambien.

+1
0
-1
Imagen de gledof
+1
0
-1

$ sudo rkhunter --propupd
$ sudo rkhunter --update
Para actualizar el registro de rkhunter, pero de lo que no estaba seguro es si solo reportaba una simple modificacion por actualizacion de version en esos archivos o una "potencial" amenaza.
Si corria esos comandos las advertencias desaparecen y las amenazas serian tomadas por algo normal. Lo que tu me dices es que rkhunter solo esta reportando una modificacion y no un posible rootkit?

+1
0
-1

Saludos.----

Imagen de Goyo
+1
0
-1

Lo que tu me dices es que rkhunter solo esta reportando una modificacion y no un posible rootkit?

No digo nada de eso. Que está informando de varias modificaciones es evidente sin necesidad de que yo lo diga. Que no sea un posible rootkit no lo digo porque no lo puedo saber con seguridad. Me pasa igual que a rkhunter, no puedo saber si las modificaciones se deben a las actualizaciones, a un rootkit o a qué.

+1
0
-1
Imagen de gledof
+1
0
-1

Voy a actualizar el registro y usar un poco el sistema sin actualizar ni instalar programas y mañana ver que arroja rkhunter.
Gracias Goyo.

+1
0
-1

Saludos.----

Imagen de gledof
+1
0
-1

pero hoy revizando el archivo de Ipband que puse a correr para ver las conexiones de la PC me encontre con una conexion saliente del puerto 6951 al 30xxx (no lo recuerdo ahora) de una IP/19 (cantidad de host) de mi ISP y no mostraba el protocolo. Agregue a iptables la regla para dropear todo lo que venga o salga hacia ese rango de IPs.
Aunque despues de actualizar el registro de rkhunter no aparecio ninguna advertencia mas alguna de las 23 originales tal vez no eran tan inofencivas...diria mi lado paranoico, pero es raro que la PC por su cuenta haya enviado un paquete a una IP de mi proveedor de internet.
Es posible que actualizando un sistema desde Synaptic el origen de la descarga sea redireccionado a otra fuente con paquetes corruptos? Como puedo chequear la firma del paquete que tengo instalado con la del original?

+1
0
-1

Saludos.----