rkhunter.log Auswertung

EdCrane · 18 März 2014

Hallo zusammen,

könnte ein kompetenter Jemand mal diesen logfile von rkhunter durchschauen. Es gibt ein paar Warnungen, die ich nicht deuten kann.

EIn Statement wäre nett

....oder vielleicht ein Link zu einer Seite, wo Logfiles dieser Art unter Linux ausgewertet werden.

Grüße und Danke!

EDIT: Sry Leute kann mich jemand anweisen, wie man hier einen File hochladen kann. ich finds iwie nicht!!!

lOtz1009 · 18 März 2014

Direkt hochladen kannst du hier nicht.
Aber gerne den Dateiinhalt über einen Pastebin zur Verfügung stellen.
z.B. http://susepaste.org/

Jägerschlürfer · 18 März 2014

kopiere einfach die Meldungen, die rkhunter ausgibt mal in eine Suchmaschine und lasse mal danach suchen.
Die meisten Meldungen können nämlich ignoriert werden.

EdCrane · 18 März 2014

Über Susepaste ging es leider nicht. ich denke mal genauer der gleiche Fehler wie hier über die Code-Funktion...zu viele Zeichen bzw max. Bytes überschritten :/

Ich habs jetzt einfach über einen freien Filehoster hochgeladen. ich hoffe ohne Ads für euch.

Download:
rkhunter.log

Ich hab jetz mal alle Warnungen rausgepickt. Ich hoffe es hilft

Code:

[16:44:42]   /usr/bin/chkconfig                              [ Warning ]
[16:44:42] Warning: The command '/usr/bin/chkconfig' has been replaced by a script: /usr/bin/chkconfig: Perl script, ASCII text executable


[16:44:43]   /usr/bin/ldd                                    [ Warning ]
[16:44:43] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable

[16:44:47]   /sbin/ifup                                      [ Warning ]
[16:44:47] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script, ASCII text executable








[16:45:45] Info: Starting test name 'passwd_changes'
[16:45:46]   Checking for passwd file changes                [ Warning ]
[16:45:46] Warning: Unable to check for passwd file differences: no copy of the passwd file exists.
[16:45:46]
[16:45:46] Info: Starting test name 'group_changes'
[16:45:46]   Checking for group file changes                 [ Warning ]
[16:45:46] Warning: Unable to check for group file differences: no copy of the group file exists.
[16:45:46]   Checking root account shell history files       [ OK ]
[16:45:46]
[16:45:46] Info: Starting test name 'system_configs'
[16:45:46] Performing system configuration file checks
[16:45:46]   Checking for SSH configuration file             [ Found ]
[16:45:46] Info: Found SSH configuration file: /etc/ssh/sshd_config
[16:45:46] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'yes'.
[16:45:46] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[16:45:46]   Checking if SSH root access is allowed          [ Warning ]
[16:45:46] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
           The default value may be 'yes', to allow root access.
[16:45:46]   Checking if SSH protocol v1 is allowed          [ Warning ]
[16:45:46] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.
[16:45:46]   Checking for running syslog daemon              [ Found ]
[16:45:46] Info: Found rsyslog configuration file: /etc/rsyslog.conf
[16:45:46]   Checking for syslog configuration file          [ Found ]
[16:45:46]   Checking if syslog remote logging is allowed    [ Not allowed ]







[16:45:46] Info: Starting test name 'filesystem'
[16:45:46] Performing filesystem checks
[16:45:46] Info: SCAN_MODE_DEV set to 'THOROUGH'
[16:45:46] Info: Found file '/dev/.sysconfig/network/ifup-lo': it is whitelisted.
[16:45:46] Info: Found file '/dev/.sysconfig/network/if-lo': it is whitelisted.
[16:45:46] Info: Found file '/dev/.sysconfig/network/config-lo': it is whitelisted.
[16:45:46] Info: Found file '/dev/.sysconfig/network/started': it is whitelisted.
[16:45:46] Info: Found file '/dev/.sysconfig/network/new-stamp-2': it is whitelisted.
[16:45:46] Info: Found file '/dev/shm/pulse-shm-3636065807': it is whitelisted.
[16:45:46] Info: Found file '/dev/shm/pulse-shm-3096334342': it is whitelisted.
[16:45:46] Info: Found file '/dev/shm/pulse-shm-3713886322': it is whitelisted.
[16:45:46] Info: Found file '/dev/shm/pulse-shm-2295635608': it is whitelisted.
[16:45:46] Info: Found file '/dev/shm/pulse-shm-1620263894': it is whitelisted.
[16:45:47]   Checking /dev for suspicious file types         [ Warning ]
[16:45:47] Warning: Suspicious file types found in /dev:
[16:45:47]          /dev/.sysconfig/network/ifup-wlp0s20u4u4: ASCII text
[16:45:47]          /dev/.sysconfig/network/if-wlp0s20u4u4: ASCII text
[16:45:47]          /dev/.sysconfig/network/new-stamp-4: ASCII text
[16:45:47]          /dev/.sysconfig/network/config-wlp0s20u10: ASCII text
[16:45:47]          /dev/.sysconfig/network/new-stamp-3: ASCII text
[16:45:47]          /dev/.sysconfig/network/config-wlp0s20u4u4: ASCII text
[16:45:47]          /dev/.sysconfig/network/config-enp3s0: ASCII text
[16:45:47] Info: Found hidden directory '/dev/.sysconfig': it is whitelisted.
[16:45:47]   Checking for hidden files and directories       [ Warning ]
[16:45:47] Warning: Hidden file found: /dev/.udev: symbolic link to `/run/udev'








11:16:11] Info: Starting test name 'system_configs'
[11:16:11] Performing system configuration file checks
[11:16:11]   Checking for SSH configuration file             [ Found ]
[11:16:11] Info: Found SSH configuration file: /etc/ssh/sshd_config
[11:16:11] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'yes'.
[11:16:11] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[11:16:11]   Checking if SSH root access is allowed          [ Warning ]
[11:16:11] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
           The default value may be 'yes', to allow root access.
[11:16:11]   Checking if SSH protocol v1 is allowed          [ Warning ]
[11:16:11] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.
[11:16:11]   Checking for running syslog daemon              [ Found ]
[11:16:11] Info: Found rsyslog configuration file: /etc/rsyslog.conf
[11:16:11]   Checking for syslog configuration file          [ Found ]
[11:16:11]   Checking if syslog remote logging is allowed    [ Not allowed ]
[11:16:11]
[11:16:11] Info: Starting test name 'filesystem'
[11:16:11] Performing filesystem checks
[11:16:11] Info: SCAN_MODE_DEV set to 'THOROUGH'
[11:16:11] Info: Found file '/dev/.sysconfig/network/ifup-lo': it is whitelisted.
[11:16:11] Info: Found file '/dev/.sysconfig/network/if-lo': it is whitelisted.
[11:16:11] Info: Found file '/dev/.sysconfig/network/config-lo': it is whitelisted.
[11:16:11] Info: Found file '/dev/.sysconfig/network/started': it is whitelisted.
[11:16:11] Info: Found file '/dev/.sysconfig/network/new-stamp-2': it is whitelisted.
[11:16:11] Info: Found file '/dev/shm/pulse-shm-3740338283': it is whitelisted.
[11:16:11] Info: Found file '/dev/shm/pulse-shm-1150018457': it is whitelisted.
[11:16:11] Info: Found file '/dev/shm/pulse-shm-2727793210': it is whitelisted.
[11:16:11] Info: Found file '/dev/shm/pulse-shm-556894845': it is whitelisted.
[11:16:11] Info: Found file '/dev/shm/pulse-shm-1384247728': it is whitelisted.
[11:16:11]   Checking /dev for suspicious file types         [ Warning ]
[11:16:11] Warning: Suspicious file types found in /dev:
[11:16:11]          /dev/.sysconfig/network/ifup-wlp0s20u4u4: ASCII text
[11:16:11]          /dev/.sysconfig/network/if-wlp0s20u4u4: ASCII text
[11:16:11]          /dev/.sysconfig/network/new-stamp-4: ASCII text
[11:16:11]          /dev/.sysconfig/network/new-stamp-3: ASCII text
[11:16:11]          /dev/.sysconfig/network/config-wlp0s20u4u4: ASCII text
[11:16:11]          /dev/.sysconfig/network/config-wlp0s20u10: ASCII text
[11:16:11]          /dev/.sysconfig/network/config-enp3s0: ASCII text
[11:16:12] Info: Found hidden directory '/dev/.sysconfig': it is whitelisted.
[11:16:12]   Checking for hidden files and directories       [ Warning ]
[11:16:12] Warning: Hidden file found: /dev/.udev: symbolic link to `/run/udev'
[11:16:12]

uhelp · 19 März 2014

Überprüfe einfach die genannten Scripte, ob sie mit den aktuellen Scripten deiner Distri übereinstimmen mit einem Tool deiner Wahl.

Wenn .das so ist, lies nochmal den Anfang deines Logfiles. Dort steht:

Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.

Zum Vergrößern anklicken....

und sagt, dass du künftig nicht so schlampern sollst, und rkhunter mit "--propupd" ( PROPertyUPDate) aufrufen sollst.

EdCrane · 20 März 2014

Hallo,

danke für den Tipp. Wer lesen ...und Englisch kann ist klar im Vorteil :/

Hier nochmal die neue Vorgehensweise über das Terminal mit den Parametern --update, --propupd

Code:

PC:/home/username # rkhunter --update
[ Rootkit Hunter version 1.4.0 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]



PC:/home/username # rkhunter --propupd
[ Rootkit Hunter version 1.4.0 ]
File updated: searched for 168 files, found 181
PC:/home/username # rkhunter --check
[ Rootkit Hunter version 1.4.0 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checkswlp0s20u10
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/chkconfig                                       [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/chroot                                          [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/csh                                             [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dmesg                                           [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/echo                                            [ OK ]
    /usr/bin/ed                                              [ OK ]
    /usr/bin/egrep                                           [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/fgrep                                           [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/grep                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/ls                                              [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mktemp                                          [ OK ]
    /usr/bin/more                                            [ OK ]
    /usr/bin/mount                                           [ OK ]
    /usr/bin/mv                                              [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/ping                                            [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/ps                                              [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/pwd                                             [ OK ]
    /usr/bin/readlink                                        [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sed                                             [ OK ]
    /usr/bin/sh                                              [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/su                                              [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uname                                           [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/gawk                                            [ OK ]
    /usr/bin/tcsh                                            [ OK ]
    /usr/bin/mailx                                           [ OK ]
    /usr/bin/systemctl                                       [ OK ]
    /sbin/checkproc                                          [ OK ]
    /sbin/chkconfig                                          [ OK ]
    /sbin/depmod                                             [ OK ]
    /sbin/fsck                                               [ OK ]
    /sbin/ifconfig                                           [ OK ]
    /sbin/ifdown                                             [ OK ]
    /sbin/ifstatus                                           [ OK ]
    /sbin/ifup                                               [ OK ]
    /sbin/init                                               [ OK ]
    /sbin/insmod                                             [ OK ]
    /sbin/ip                                                 [ OK ]
    /sbin/lsmod                                              [ OK ]
    /sbin/modinfo                                            [ OK ]
    /sbin/modprobe                                           [ OK ]
    /sbin/nologin                                            [ OK ]
    /sbin/rmmod                                              [ OK ]
    /sbin/route                                              [ OK ]
    /sbin/rsyslogd                                           [ OK ]
    /sbin/runlevel                                           [ OK ]
    /sbin/sysctl                                             [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/fsck                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/ip                                             [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/sulogin                                        [ OK ]
    /usr/sbin/sysctl                                         [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/xinetd                                         [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
    /bin/dmesg                                               [ OK ]
    /bin/echo                                                [ OK ]
    /bin/ed                                                  [ OK ]
    /bin/egrep                                               [ OK ]
    /bin/fgrep                                               [ OK ]
    /bin/find                                                [ OK ]
    /bin/fuser                                               [ OK ]
    /bin/grep                                                [ OK ]
    /bin/ip                                                  [ OK ]
    /bin/kill                                                [ OK ]
    /bin/logger                                              [ OK ]
    /bin/login                                               [ OK ]
    /bin/ls                                                  [ OK ]
    /bin/lsmod                                               [ OK ]
    /bin/mail                                                [ OK ]
    /bin/md5sum                                              [ OK ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/pgrep                                               [ OK ]
    /bin/ping                                                [ OK ]
    /bin/pkill                                               [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/readlink                                            [ OK ]
    /bin/rpm                                                 [ OK ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/sort                                                [ OK ]
    /bin/stat                                                [ OK ]
    /bin/su                                                  [ OK ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/gawk                                                [ OK ]
    /bin/tcsh                                                [ OK ]
    /bin/systemd                                             [ OK ]
    /bin/systemctl                                           [ OK ]
    /usr/lib/systemd/systemd                                 [ OK ]
    /etc/rkhunter.conf                                       [ OK ]

[Press <ENTER> to continue]


Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    Adore Rootkit                                            [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    cb Rootkit                                               [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    Fu Rootkit                                               [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    IntoXonia-NG Rootkit                                     [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Jynx Rootkit                                             [ Not found ]
    KBeast Rootkit                                           [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    ld-linuxv.so Rootkit                                     [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx2 Rootkit                                         [ Not found ]
    Phalanx2 Rootkit (extended tests)                        [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    'Spanish' Rootkit                                        [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    trNkit Rootkit                                           [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    Vampire Rootkit                                          [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    Xzibit Rootkit                                           [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]
    ZK Rootkit                                               [ Not found ]

[Press <ENTER> to continue]


  Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]
  Performing trojan specific checks
    Checking for enabled xinetd services                     [ None found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]

[Press <ENTER> to continue]


Checking the network...

  Performing checks on the network ports
    Checking for backdoor ports                              [ None found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for a system logging configuration file         [ Found ]
    Checking if SSH root access is allowed                   [ Warning ]
    Checking if SSH protocol v1 is allowed                   [ Warning ]
    Checking for a running system logging daemon             [ Found ]
    Checking for a system logging configuration file         [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]


Checking application versions...

    Checking version of GnuPG                                [ OK ]
    Checking version of OpenSSL                              [ OK ]
    Checking version of Procmail MTA                         [ OK ]
    Checking version of OpenSSH                              [ OK ]


System checks summary
=====================

File properties checks...
    Files checked: 181
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 306
    Possible rootkits: 0

Applications checks...
    Applications checked: 4
    Suspect applications: 0

The system checks took: 4 minutes and 47 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Laut Zusammenfassung wohl alles OK, oder? Am Ende gibt es ein paar Warnungen.

Logfile Download:
rkhunter.log

Code:

[11:05:53] Info: Starting test name 'system_configs'
[11:05:53] Performing system configuration file checks
[11:05:53]   Checking for a system logging configuration file [ Found ]
[11:05:53] Info: Found SSH /etc/ssh/sshd_config configuration file: 
[11:05:53] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'yes'.
[11:05:53] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[11:05:53]   Checking if SSH root access is allowed          [ Warning ]
[11:05:53] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
           The default value may be 'yes', to allow root access.
[11:05:53]   Checking if SSH protocol v1 is allowed          [ Warning ]
[11:05:53] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.


---------------------------------------




[11:05:54]   Checking /dev for suspicious file types         [ Warning ]
[11:05:54] Warning: Suspicious file types found in /dev:
[11:05:54]          /dev/.sysconfig/network/ifup-wlp0s20u4u4: ASCII text
[11:05:54]          /dev/.sysconfig/network/if-wlp0s20u4u4: ASCII text
[11:05:54]          /dev/.sysconfig/network/new-stamp-5: ASCII text
[11:05:54]          /dev/.sysconfig/network/new-stamp-4: ASCII text
[11:05:54]          /dev/.sysconfig/network/new-stamp-3: ASCII text
[11:05:54]          /dev/.sysconfig/network/config-wlp0s20u10: ASCII text
[11:05:54]          /dev/.sysconfig/network/config-wlp0s20u4u4: ASCII text
[11:05:54]          /dev/.sysconfig/network/config-enp3s0: ASCII text
[11:05:54] Info: Found hidden directory '/dev/.sysconfig': it is whitelisted.
[11:05:54]   Checking for hidden files and directories       [ Warning ]
[11:05:54] Warning: Hidden file found: /dev/.udev: symbolic link to `/run/udev'




--------------------------------------------



[11:16:23] Info: Starting test name 'system_configs'
[11:16:23] Performing system configuration file checks
[11:16:23]   Checking for a system logging configuration file [ Found ]
[11:16:23] Info: Found SSH /etc/ssh/sshd_config configuration file: 
[11:16:23] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'yes'.
[11:16:23] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[11:16:23]   Checking if SSH root access is allowed          [ Warning ]
[11:16:23] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
           The default value may be 'yes', to allow root access.
[11:16:23]   Checking if SSH protocol v1 is allowed          [ Warning ]
[11:16:23] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.



-------------------------------------------------------






[11:16:23] Info: Starting test name 'filesystem'
[11:16:23] Performing filesystem checks
[11:16:23] Info: SCAN_MODE_DEV set to 'THOROUGH'
[11:16:23] Info: Found file '/dev/.sysconfig/network/ifup-lo': it is whitelisted.
[11:16:23] Info: Found file '/dev/.sysconfig/network/if-lo': it is whitelisted.
[11:16:23] Info: Found file '/dev/.sysconfig/network/config-lo': it is whitelisted.
[11:16:23] Info: Found file '/dev/.sysconfig/network/started': it is whitelisted.
[11:16:23] Info: Found file '/dev/.sysconfig/network/new-stamp-2': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-2902404655': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-4046403291': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-4101810814': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-3713454466': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-1128608925': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-4006639778': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-4288829658': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-558363417': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-3359648116': it is whitelisted.
[11:16:23] Info: Found file '/dev/shm/pulse-shm-4266982258': it is whitelisted.
[11:16:23]   Checking /dev for suspicious file types         [ Warning ]
[11:16:23] Warning: Suspicious file types found in /dev:
[11:16:23]          /dev/.sysconfig/network/ifup-wlp0s20u4u4: ASCII text
[11:16:23]          /dev/.sysconfig/network/if-wlp0s20u4u4: ASCII text
[11:16:23]          /dev/.sysconfig/network/new-stamp-5: ASCII text
[11:16:23]          /dev/.sysconfig/network/new-stamp-4: ASCII text
[11:16:23]          /dev/.sysconfig/network/new-stamp-3: ASCII text
[11:16:24]          /dev/.sysconfig/network/config-wlp0s20u10: ASCII text
[11:16:24]          /dev/.sysconfig/network/config-wlp0s20u4u4: ASCII text
[11:16:24]          /dev/.sysconfig/network/config-enp3s0: ASCII text
[11:16:24] Info: Found hidden directory '/dev/.sysconfig': it is whitelisted.
[11:16:24]   Checking for hidden files and directories       [ Warning ]
[11:16:24] Warning: Hidden file found: /dev/.udev: symbolic link to `/run/udev'

Das sind die Auszüge

wlp0s20u4u4 & wlp0s20u10 sind meine USB-Wlanadapter. Ersterer ist in Gebrauch

spoensche · 20 März 2014

Die Warnung: SSH Root Access is allowed ist auch zu recht eine Warnung, weil so die Anmeldungs aus der Ferne mit dem User root möglich ist.

Das ist aus folgenden Gründen fatal:

- Angreifer können versuchen das root Passwort zu erraten und haben bei Erfolg vollen Systemzugriff. D.h. du bist nicht mehr der Herr über deinen Rechner.
- Bei Erfolg können Angreifer dich ganz einfach komplett aus dem System ausperren, in dem sie das root Passwort ändern.

Deswegen deaktiviert man den Root Zugriff per SSH. Man loggt sich also per SSH als normaler User ein (hat also keinen Vollzugriff auf das System) und führt die Befehle, die root Berechtigung erfordern mittels sudo aus.

Folglich hat dann auch ein Angreifer keinen vollen Systemzugriff.

EdCrane · 20 März 2014

@spoensche

Meinst du das hier ist Sicherheit genug?

Code:

systemctl stop sshd.service

systemctl disable sshd.service

Was denkst du, kann ich die SSH.Pakete deinstallieren ohne andere Teile des Systems zu zerschiessen?

http://forum.linux-club.de/viewtopic.php?f=90&t=119057&p=755771#p755771

/dev/null · 21 März 2014

So, deinem Wunsch entsprechend habe ich mir das mal angesehen.
Meine grundsätzliche Meinung zu ssh habe ich dir ja in deinem anderen Thread geschrieben: Ich möchte auf meinen Kisten ssh (den Client zum Einloggen auf anderen Maschinen) und einen laufenden sshd (um sich auf die jeweiligen Maschine von remote einloggen zu können) nicht missen!

Was hat rkhunter denn bemerkt: Dass deine sshd_config nicht sinnvoll ist.
BTW: derartiges bemerkst du natürlich nur, wenn du mit einem Tools wie dem erwähnten rkhunter danach suchen lässt. Ein derartiges Tool ist gut und IMHO auch in der Hand des Profis sehr zu empfehlen. Es kann natürlich auch Verwirrung stiften.

Auch wenn du den sshd als einen Dienst, den du nicht benötigst, sinnvollerweise gleich deaktivierst (= Standard), solltest du die sshd_config trotzdem etwas anpassen. Es könnte ja sein, dass du vielleicht mal diesen Dienst nutzen willst und nicht an deine "schlampige" Konfiguration denkst. Überhaupt solltest du, wenn du auf deiner Kiste irgend einen bisher nicht genutzten Dienst startest und dafür auch benötigste Ports in der Fw des Betriebssystems öffnest und/oder diese in deinem Router weiterleitest, dir immer die zutreffende Konfigurationsdatei ansehen.

Zur sicheren Konfiguration des sshd gibt es im Netz "unendlich viele" Anleitungen. Auch hier im Forum.
Das folgende betrachte ich als Minimum (hier nur die Auszüge aus meiner kommentierten sshd_config):

Code:

# Per default ist das veraltete Protocol 1 deaktiviert und erfordert explizid eine spezielle Aktivierung! => nur noch Protocol 2 nutzen!!
Protocol 2

#PermitRootLogin ermöglicht das direkte Einloggen als root. Default = yes, Besser ist "no"! 
PermitRootLogin no

#StrictModes = Strikte Überprüfung der Dateirechte und Besitzverhältnisse des /home des Remote-Users
# Wenn nicht alles stimmt, wird Zugriff auf host verweigert!
# Bei Problemen kann auf "no" gesetzt werden. Standard: "yes"
StrictModes yes

#MaxAuthTries 6                                 <== Fehlversuche auf 2 reduziert, ich melde mich ja nur mit PubkeyAuthentication an!
MaxAuthTries 2

#PubkeyAuthentication yes  = nur wirksam bei Protocol 2, Standard = yes  (trotzdem schreibe ich es noch einmal so hin)
PubkeyAuthentication yes

# keine Passwort-Authentisierung zulassen! => no (default = yes, geändert) also nur Anmeldung mit PubkeyAuthentication möglich!
PasswordAuthentication no

Diese Änderungen "kosten" dich zwei Minuten Zeit. Und dann wird der rkhunter zumindest dieses nicht mehr bemängeln.
Mit dieser "harten" Konfiguration ist nun selbst bei Starten des Dienstes (*) und Freischalten/Weiterleiten der Ports keinerlei Zugriff per ssh mehr auf deinen Rechner möglich. Warum: es fehlen ja die public keys der zugriffsberechtigten Rechner in der "~/.ssh/authorized_keys" (bzw. diese Datei ist überhaupt nicht vorhanden).
(*) Ich bin mir nicht mal sicher, ob sich der sshd dann überhaupt starten lässt, ohne eine ~/.ssh/authorized_keys. Habe das nie getestet ... .

MfG Peter

Geier0815 · 21 März 2014

@spoensche,

Du hast dich, glaube ich, vertan. Wenn man den root-zugriff sperrt dann verwendet man als User nicht sudo sondern su um etwas mit root-rechten zu machen. Bei sudo könnte der Angreifer ja einfach das schon geknackte User-Passwort verwenden durch das er rein gekommen ist. Bei su muß noch das root-Passwort eingegeben werden, sprich es müßen zwei Passwörter gefunden/geknackt werden.

panamajo · 21 März 2014

Geier0815 schrieb:
Wenn man den root-zugriff sperrt dann verwendet man als User nicht sudo sondern su um etwas mit root-rechten zu machen. Bei sudo könnte der Angreifer ja einfach das schon geknackte User-Passwort verwenden durch das er rein gekommen ist. Bei su muß noch das root-Passwort eingegeben werden, sprich es müßen zwei Passwörter gefunden/geknackt werden.

Ich denke beides geht. Das deutlich größere Problem ist dass immer ein priviligiertes Account root vorhanden ist. Dadurch lohnt sich eine Brute-Force Attacke auf alle Fälle wenn der sshd das zulässt. Bei allen anderen Accounts kann ein Eindringling von außen nicht 100% sicher sein ob ein Account mit dem Namen existiert und auch nicht ob dieses Account zu den sudoers gehört. Den Befehl /usr/bin/su dagegen kann jeder User ausführen, aber man muss dafür das root PW kennen (wie du richtig sagtest).

josef-wien · 21 März 2014

Geier0815 schrieb:
Bei sudo könnte der Angreifer ja einfach das schon geknackte User-Passwort verwenden

Das kommt auf die Konfiguration von sudo an, nicht überall gibt es die von *buntu eingerichtete "offene Scheunentor-Variante". Jeder Benutzer kann su und sudo ausführen, aber die zweite Variante bietet die Chance, auch gefährliche Programme mit dem Benutzer-Paßwort oder ganz ohne Paßwort verwenden zu können.

Auf etwas anderes als die von /dev/null erwähnte Definition von "PasswordAuthentication no" sollte man sich daher nicht einlassen, wenn sshd genutzt wird.

EdCrane · 22 März 2014

@ /dev/null

Danke dir. Ich hab jetzt die sshd-Konfig so angepasst.
PermitRootLogin no hatte ich mittlerweile schon gesetzt.

Ich werd jetzt nochnal scannen und schauen wie nun aussieht.

Fortsetzung folgt...Gruß

rkhunter.log Auswertung

EdCrane

Member

lOtz1009

Moderator

Jägerschlürfer

Moderator

EdCrane

Member

uhelp

Member

EdCrane

Member

spoensche

Moderator

EdCrane

Member

/dev/null

Moderator

Geier0815

Guru

panamajo

Guru

josef-wien

Ultimate Guru

EdCrane

Member