标签: rkhunter

我正在运行 Ubuntu 10.04.1 LTS 。我正在运行rkhunter来检查 rootkit。

rkhunter 抱怨以下隐藏文件和目录。我认为这些文件在我的系统上不是真正的问题，但是我如何检查这些文件是否是合法文件？

[07:57:45]   Checking for hidden files and directories       [ Warning ]
[07:57:45] Warning: Hidden directory found: /etc/.java
[07:57:45] Warning: Hidden directory found: /dev/.udev
[07:57:45] Warning: Hidden directory found: /dev/.initramfs

更新

事实证明，这些目录在 /etc/rkhunter.conf 中被特别提及，这表明这是一个常见的 rkhunter 问题。从 rkhunter.conf ：

#
# Allow the specified hidden directories.
# One directory per line (use multiple ALLOWHIDDENDIR lines).
#
#ALLOWHIDDENDIR=/etc/.java
#ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
#ALLOWHIDDENDIR=/dev/.static
#ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
#ALLOWHIDDENDIR=/dev/.mdadm

我每天创建 3 个 cron 作业来运行。

下面是放在 etc/cron.daily 中的三个

猎手.sh

#!/bin/sh
(
rkhunter --versioncheck
rkhunter --update
rkhunter --cronjob --report-warnings-only
) | mail -s 'rkhunter Daily Run (my server)' me@email.com

chkrootkit.sh

#!/bin/bash
chkrootkit | mail -s "chkrootkit Daily Run (my server)" me@email.com

日志文件

#!/bin/sh
(
logwatch
) | mail -s 'logwatch Daily Log (my server)' me@email.com

我当然用我的电子邮件替换了 me@email.com。

如果我手动运行这个 cronjob 它工作正常 ./nameoffile.sh

但它不是每天运行，可能是什么原因或我如何检查这个？

我跑了rkhunter，发现一个警告，_apt我的 Ubuntu 16.04 上有一个新用户

$ grep _apt /etc/passwd
_apt:x:124:65534::/nonexistent:/bin/false

我发现的是，这似乎是一种“高级持续威胁”的沙箱用户。但这究竟是什么？

所以我有 clamav 防病毒软件，但这是对 rootkit 的保护还是我需要在 clamav 中安装 rootkit 猎人？

我用谷歌搜索了一些并查看了它找到的两个第一个链接：

1. http://www.skullbox.net/rkhunter.php
2. http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/

他们没有提到如果出现此类警告我该怎么办：

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

Q1：是否有更多扩展的 HowTos 来解释如何处理不同种类的警告？

还有第二个问题。我的行为是否足以解决这些警告？

a) 找到包含可疑文件的包，例如 /bin/which 文件是 debianutils

~ > dpkg -S …

运行命令时：

sudo rkhunter --versioncheck

我得到以下输出：

[ Rootkit Hunter version 1.4.0 ]

Checking rkhunter version...
  This version  : 1.4.0
  Latest version: 1.4.2
  Update available

但是似乎没有任何地方可以rkhunter从 version升级1.4.0到 version 1.4.2，并且在运行命令时：

sudo apt-get update && sudo apt-get dist-upgrade

没有可用的升级rkhunter，那么是否有一些特殊的命令可以将其升级到最新版本，还是只是我需要等到新版本在 Ubuntu 存储库中可用？

我也试过运行：

sudo rkhunter --update

我得到：

[ Rootkit Hunter version 1.4.0 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ] …

我试图在rkhunter配置中弄清楚如何将某些端口的检测列入白名单，例如用于 IRCd 的端口，以及用于在非标准端口上运行的服务的其他端口。

有谁知道如何配置它以便rkhunter不会发出有关检测我希望列入白名单的端口的警告？

我在服务器上运行 rkhunter -c ，收到的警告如下：

Checking if SSH protocol v1 is allowed       [ Warning ]

Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.

所以我运行了命令：

nano sshd_config

我添加了这一行

Protocol 2 

然后重新运行 rkhunter 命令但收到相同的警告。我还能尝试什么？

谢谢。

我尝试在Ubuntu20.04中使用RKHunter 1.4.6（http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz），它已经有4年左右的历史了，运行它在我的桌面上没有发现任何rootkit。但我想知道在 ubuntu20.04 上使用 rkhunter 1.4.6 是否仍然相关或良好的方法？

今天我用以下方法扫描了我的机器rkhunter：

sudo rkhunter --checkall

这些是我得到的警告：

Checking for passwd file changes                         [ Warning ]
Checking for group file changes                          [ Warning ]

这有什么可担心的吗？如果是，那么我应该如何进行？

操作系统信息：

Description:    Ubuntu 14.10
Release:    14.10

好的，我知道这个问题听起来很奇怪，但我需要帮助以准确的方式安装 rkhunter，我是否需要按照本文https://help.ubuntu.com/community/RKhunter 中的所有步骤进行操作？

每次我rkhunter使用以下命令扫描我的机器时：

sudo rkhunter --checkall

完成某种类型的检查后，它会问我：

[Press <ENTER> to continue]

这变得相当烦人，我一直忘记我已经运行了它，所以几个小时后我意识到它一直坐在那个提示上。同样令人讨厌的是，我必须在扫描过程中一直坐在那里盯着它，以便我可以按下ENTER以让它继续。

所以这真的是我的问题，有什么方法可以让它不提示我按下ENTER而是继续扫描，这样我所要做的就是通过执行初始命令来运行它，然后来稍后回来查看结果？

操作系统信息：

Description:    Ubuntu 14.10
Release:    14.10

包装信息：

rkhunter:
  Installed: 1.4.0-3
  Candidate: 1.4.0-3
  Version table:
 *** 1.4.0-3 0
        500 http://gb.archive.ubuntu.com/ubuntu/ utopic/universe amd64 Packages
        100 /var/lib/dpkg/status