Στον προγραμματισμένο έλεγχο που κάνω με το rkhunter συνάντησα μερικά Warnings τα οποία πρώτη φορά τα συνάτησα. Σύνολο 10!!!
Στο summary γράφει "Suspect files: 10"
Δίνω
- Κώδικας: Επιλογή όλων
sudo gedit /var/log/rkhunter.log&
Να σας παραθέσω λιγάκι τα Warnings που έβγαλε:
- /usr/bin/top
/usr/bin/vmstat
/usr/bin/w
/usr/bin/watch
/usr/bin/w.procps
/sbin/ip
/sbin/sysctl
Checking /dev for suspicious file types
Checking for hidden files and directories
Πάω λοιπόν στο log file και κοιτάω τις λετομέρειες του Warning:
[11:42:17] /usr/bin/vmstat [ Warning ]
[11:42:17] Warning: The file properties have changed:
[11:42:17] File: /usr/bin/vmstat
[11:42:17] Current hash: d1cd4f460631b3da1d1591d21cce213fff21bfcf
[11:42:17] Stored hash : 202013298ba7b465c485db690c81b51a094b2484
[11:42:17] Current inode: 1224065 Stored inode: 1221723
[11:42:17] Current file modification time: 1215682114
[11:42:17] Stored file modification time : 1205447087
Και στα άλλα Warnings τα νούμερα είναι παρόμοια γι' αυτό και δεν τα βάζω..
Το έχει συνατήσει κανένας άλλος αυτό; Ξέρετε από τι μπορεί να είναι;
Λύση:
Δίνουμε από κονσόλα πριν κάνουμε τον έλεγχο μας τις επόμενες δύο εντολές:
- Κώδικας: Επιλογή όλων
sudo rkhunter --update
sudo rkhunter --propupd
--update the file properties database
Κατόπιν κάνουμε τον έλεγχο με την εντολή:
- Κώδικας: Επιλογή όλων
sudo rkhunter --check
Ο λόγος που πρέπει να γίνει αυτό τον εξηγεί ο simosx:
Αυτό που κοιτάει το rkhunter είναι τα αθροίσματα ελέγχου (checksum) των αρχείων του συστήματος σου. Το πρόγραμμα γνωρίζει το πραγματικό αποτέλεσμα, μιας και έχεις τη διανομή Ubuntu Linux 8.04. Όταν όμως γίνει μια ενημέρωση πακέτου από τα System updates, τότε πρέπει να ενημερώνεις και το rkhunter με τις οδηγίες που έδωσε ο linuxman.
