Archivo sospechoso con rkhunter... ¿Debo preocuparme?

Estaba revisando los temas de seguridad, y me decidí instalar rkhunter. Al usarlo, me di cuenta de que había una línea en la salida que decía "Warning". Dejé que la herramienta hiciera todo su trabajo, y finalmente terminó con el siguiente reporte:

System checks summary
=====================

File properties checks...
Files checked: 132
Suspect files: 1

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 3 minutes and 10 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Como supongo sabrán, poner toda la salida de rkhunter sería demasiado; solo me concretaré a mostrarles el aviso pertienente de esto:

Performing file properties checks
...
/usr/bin/unhide.rb [ Warning ]
...

Y el sistema me mandó algo más:

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking root account shell history files [ None found ]

Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]

Que yo sepa, no he realizado cambios en mi contraseña SUDO, pero el reporte me manda un aviso en "passwd file changes" y en "group file changes". ¿Hay algo que me falte hacer? Si se trata de malware -en el remoto caso de que así fuese-, ¿qué medidas debo tomar?

Gracias de antemano por su ayuda.

Imagen de elnetotaca
+1
0
-1

Mientras tanto quiero que hagas esto en la terminal;
sudo rkhunter --propupd
sudo rkhunter --update
rkhunter -c -sk
gksudo gedit /var/log/rkhunter.log

veras que el resultado sera diferente.

explicación;

Estoy 99.99% seguro que lo unico que estas haciendo ahorita es comparar la "BASE" de linux en su estado ORIGINAL(como una instalación en limpio recien hecha)

pero lo que sucede es que ya has instalado varias aplicaciones desde que hiciste la instalación de linux.

+1
0
-1

unzip; strip; touch; finger; mount; fsck; more; yes; unmount; sleep
Es lo que hago a diario....... En Linux mal pensados!

Imagen de fernando-eguia-mx
+1
0
-1

Lo único importante que he instalado, fue LibreOffice; estoy usando xubuntu que, como pomprenderás, solo cuenta con AbiWord y Gnumeric. Fuera de eso, puse alguna menudencias desde el centro de software y Synaptic también. El LibreOffice lo instalé usando las DEB's del sitio oficial.

Usaré esos comandos y veré qué pasa. Gracias de nuevo por tu ayuda.

+1
0
-1
Imagen de fernando-eguia-mx
+1
0
-1

Hice "sudo rkhunter --propupd" y todo bien. Luego, al hacer la actualización, me dijo que "Checking file i18n versions" falló. No sé si ello afecte en algo, ya que, al hacer "rkhunter -c -sk" persiste el unhide.rb. Esta es la salida, destacando el problema:

--------------------------
Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
...
/usr/bin/unhide.rb [ Warning ]
...

Checking for rootkits...

Performing check of known rootkit files and directories
[Todo limpio en esta parte]

Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]

Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]

Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]

Checking the network...

Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]

Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]

Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 132
Suspect files: 1

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 3 minutes and 16 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
---------------------------

Al STFWar, me hallé con esta nota de Launchpad (https://launchpad.net/unhide.rb) sobre el unhide.rb:

"Unhide.rb is a tool that attempts to find processes hidden by rootkits. It does that by scanning for processes in many different ways, and then lists processes found through some means but not through others.

Unhide.rb is a reimplementation of unhide in Ruby. On 2013jan13, the relationships between the two programs are:
* Unhide.rb does the same checks as "unhide procall" and "unhide sys" plus some more.
* Unhide.rb is about 14x faster than the original C code (7s vs 100s on my system).
* Unhide.rb is only about a tenth as much code (437 lines vs 5100 lines) as the original C code, so it should be easier to maintain / extend.
* Unhide.rb actively tries to avoid false positives when hidden processes are found".

...que, al usar el traductor, me dijo más o meons ésto:

"Unhide.rb es una herramienta que intenta encontrar procesos ocultos por rootkits. Lo hace mediante el escaneo para los procesos de muchas maneras diferentes, y, a continuación enumera los procesos que se encuentran a través de algunos medios, pero no a través de otros.

Unhide.rb es una reimplementación de hacer visible en Ruby. En 2013jan13, las relaciones entre los dos programas son los siguientes:
* Unhide.rb hace los mismos controles que los "procall Mostrar" y "sys Mostrar" además de algunos más.
* Unhide.rb se trata de 14x más rápido que el código original de C (7s vs 100s en mi sistema).
* Unhide.rb es sólo una décima parte del código (líneas 437 vs 5.100 líneas) como el código C original, por lo que debería ser más fácil de mantener / ampliar.
* Unhide.rb trata activamente de evitar falsos positivos cuando se encuentran los procesos ocultos."

Parece ser que el misteriuo del unhide.rb ha quedado resuelto, salvo por alguna objeción hecha de parte de alguien más hábil que yo...

+1
0
-1
Imagen de elnetotaca
+1
0
-1

Lo que sucede es que unhide.rb es un script escrito en ruby(.rb)
Es por eso el warning ya que en /usr/bin/ rkhunter busca "BINARIOS" y no scripts.
Saludos

+1
0
-1

unzip; strip; touch; finger; mount; fsck; more; yes; unmount; sleep
Es lo que hago a diario....... En Linux mal pensados!