23 avisos "Warning" en rkhunter (solucionado)

Imagen de gledof
0 puntos

Hola, hace 30 minutos instale desde cero Xubuntu 12.04 en la maquina de un amigo. Despues de la instalacion ejecute el script de iptables y conecte la PC a internet. Lo primero que instale fue (buil-essential, Alien, chkrootkit y rkhunter y clamav), corri rkhunter y solo mostro el conocido falso positivo en "/usr/bin/unhide.rb"
Luego actualice desde Synaptic, reinicie el equipo y volvi a correr rkhunter, pero esta vez con una sorpresa:

$ sudo rkhunter -c
[sudo] password for jose:
[ Rootkit Hunter version 1.3.8 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ Warning ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ Warning ]
/usr/bin/dpkg-query [ Warning ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ Warning ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ Warning ]
/usr/bin/pgrep [ Warning ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/rpm [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ Warning ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ Warning ]
/usr/bin/sudo [ Warning ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ Warning ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ Warning ]
/usr/bin/w [ Warning ]
/usr/bin/watch [ Warning ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide.rb [ Warning ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ OK ]
/usr/bin/heirloom-mailx [ OK ]
/usr/bin/w.procps [ Warning ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ Warning ]
/sbin/ifup [ Warning ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ Warning ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ Warning ]
/bin/bash [ Warning ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ Warning ]
/bin/kill [ Warning ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ Warning ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/dash [ OK ]

System checks summary
=====================
File properties checks...
Required commands check failed
Files checked: 135
Suspect files: 23

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Como se ve en el reporte final hay 23 advertencias aunque cero rootkits, la reinstalacion de Xubuntu fue porque habia aparecido "Suckit Rootkit" en /usr/bin. Probe este rootkit creando un par de archivos de extencion .mem y .xrk Si estos no eran visibles se supone que el rootkit esta, pero ambos archivos aparecian cuando listaba el directorio ( ls -l ). Ante la duda reinstale el sistema pero aparentemente con peor resultado.
Me preguntos que tan confiable es rkhunter y si debo preocuparme por todas estas advertencias.

Imagen de Goyo
+1
0
-1

¿Qué esperas? Si haces una actualización es normal que algunos archivos cambien.

+1
0
-1
Imagen de gledof
+1
0
-1

$ sudo rkhunter --propupd
$ sudo rkhunter --update
Para actualizar el registro de rkhunter, pero de lo que no estaba seguro es si solo reportaba una simple modificacion por actualizacion de version en esos archivos o una "potencial" amenaza.
Si corria esos comandos las advertencias desaparecen y las amenazas serian tomadas por algo normal. Lo que tu me dices es que rkhunter solo esta reportando una modificacion y no un posible rootkit?

+1
0
-1

Saludos.----

Imagen de Goyo
+1
0
-1

Lo que tu me dices es que rkhunter solo esta reportando una modificacion y no un posible rootkit?

No digo nada de eso. Que está informando de varias modificaciones es evidente sin necesidad de que yo lo diga. Que no sea un posible rootkit no lo digo porque no lo puedo saber con seguridad. Me pasa igual que a rkhunter, no puedo saber si las modificaciones se deben a las actualizaciones, a un rootkit o a qué.

+1
0
-1
Imagen de gledof
+1
0
-1

Voy a actualizar el registro y usar un poco el sistema sin actualizar ni instalar programas y mañana ver que arroja rkhunter.
Gracias Goyo.

+1
0
-1

Saludos.----

Imagen de gledof
+1
0
-1

pero hoy revizando el archivo de Ipband que puse a correr para ver las conexiones de la PC me encontre con una conexion saliente del puerto 6951 al 30xxx (no lo recuerdo ahora) de una IP/19 (cantidad de host) de mi ISP y no mostraba el protocolo. Agregue a iptables la regla para dropear todo lo que venga o salga hacia ese rango de IPs.
Aunque despues de actualizar el registro de rkhunter no aparecio ninguna advertencia mas alguna de las 23 originales tal vez no eran tan inofencivas...diria mi lado paranoico, pero es raro que la PC por su cuenta haya enviado un paquete a una IP de mi proveedor de internet.
Es posible que actualizando un sistema desde Synaptic el origen de la descarga sea redireccionado a otra fuente con paquetes corruptos? Como puedo chequear la firma del paquete que tengo instalado con la del original?

+1
0
-1

Saludos.----

Imagen de fran_valles
+1
-1
-1

Hola, me gustaria a ver si me ayudais a interpretar este resultado que no lo entiendo.
Tengo Lubuntu la version 16.10 desde hace una semana.
No controlo mucho los procesos de linux.
El caso es que no se si debo hacer algo para solucionarlo o está todo correcto.
Instalé clamav, rkhunter y chkrootkit
He activado el firewall que estaba desactivado y he desintalado telnet.
Tambien he activado el fichero /etc/sysctl.conf ipv4

Gracias!!

[20:58:24] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
[21:00:08] Info: Starting test name 'passwd_changes'
[21:00:08] Checking for passwd file changes [ Warning ]
[21:00:08] Warning: User 'postfix' has been added to the passwd file.
[21:00:08]
[21:00:08] Info: Starting test name 'group_changes'
[21:00:08] Checking for group file changes [ Warning ]
[21:00:08] Warning: Group 'postfix' has been added to the group file.
[21:00:08] Warning: Group 'postdrop' has been added to the group file.
[21:00:08] Checking root account shell history files [ None found ]
[21:00:12] Checking /dev for suspicious file types [ Warning ]
[21:00:12] Warning: Suspicious file types found in /dev:

Resultado
[21:00:26] File properties checks...
[21:00:26] Files checked: 145
[21:00:26] Suspect files: 1
[21:00:26]
[21:00:26] Rootkit checks...
[21:00:26] Rootkits checked : 364
[21:00:26] Possible rootkits: 0

+1
-1
-1

Hablando se entiende la gente.

Imagen de fran_valles
+1
0
-1

Al final tenia un troyano que elimine con clamav

+1
0
-1

Hablando se entiende la gente.