kanotix.com

Sonstiges - RKHUNTER Positiiv Meldung

McMachine - 10.02.2012, 13:27 Uhr
Titel: RKHUNTER Positiiv Meldung
Hallo Kanotix Gurus,
anbei eine LogFile Auszug von RKHUNTER. Wie fast immer erhält man von solchen Programmen eine Warnung. Aber was sagt mir das. Ich wäre sehr dankbar für brauchbare Hinweise bevor ich daran denke mein System neu aufzusetzen.
Es ist immer nicht so einfach ein Positivmeldung gegen eine FalsePostive abzugrenzen.


Running Rootkit Hunter in Version 1.3.6 auf KanotixBox

[13:29:16] Information: Start Datum ist Fr 10. Feb 13:29:16 CET 2012

[13:29:16] Überprüfe Konfigurationsdatei und Kommandozeilen-Optionen...
[13:29:16] Information: Erkanntes Betriebssystem ist 'Linux'
[13:29:16] Information: Name des Betriebssystems gefunden: Debian 6.0.4
[13:29:16] Information: Kommandozeile ist /usr/bin/rkhunter --lang de -c
[13:29:16] Information: Umgebungsshell ist /bin/bash; rkhunter verwendet dash
[13:29:16] Information: Verwende Konfigurationsdatei '/etc/rkhunter.conf'

[13:29:22] Information: Datei '/bin/egrep' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:22] Information: Datei '/bin/fgrep' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:24] Information: Datei '/bin/which' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:26] Information: Datei '/usr/bin/groups' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:27] Information: Datei '/usr/bin/ldd' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:33] Information: Datei '/usr/sbin/adduser' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

Warnung: Überprüfe auf mögliche Rootkit-Zeichenketten [ Warnung ]
[13:30:24] Zeichenkette 'hdparm' gefunden in Datei '/etc/init.d/.depend.boot'. Mögliches Rootkit: Xzibit Rootkit
[13:30:24] Zeichenkette 'hdparm' gefunden in Datei '/etc/init.d/hdparm'. Mögliches Rootkit: Xzibit Rootkit

Führe Dateisystem-Tests aus
[13:30:52] Information: Beginne mit dem Test 'filesystem'
[13:30:52] Information: SCAN_MODE_DEV gesetzt auf 'THOROUGH'
[13:30:52] Überprüfe /dev auf verdächtige Dateien [ Warnung ]
[13:30:52] Warnung: Verdächtige Dateitypen in /dev gefunden:
[13:30:52] /dev/shm/network/ifstate: ASCII text
[13:30:52] Überrpüfe auf versteckte Dateien und Verzeichnisse [ Warnung ]
[13:30:52] Warnung: Verstecktes Verzeichnis gefunden: /etc/.java
[13:30:52] Warnung: Verstecktes Verzeichnis gefunden: /dev/.udev
[13:30:52] Warnung: Verstecktes Verzeichnis gefunden: /dev/.initramfs

mfg
McM
Kano - 10.02.2012, 13:44 Uhr
Titel: RKHUNTER Positiiv Meldung
Ich seh jetzt nichts verdächtiges, da .java dir enthält eh nur 0 byte files, wenns dich stört einfach löschen. Die udev sachen sind normal und das .depend.boot muss ja hdparm enthalten, wenn hdparm installiert ist. Stell lieber sicher, dass dein Kernel aktuell ist und ein d-u durchgeführt wurde.
McMachine - 10.02.2012, 15:24 Uhr
Titel: Re: RKHUNTER Positiiv Meldung
Kano hat folgendes geschrieben::
Ich seh jetzt nichts verdächtiges, da .java dir enthält eh nur 0 byte files, wenns dich stört einfach löschen. Die udev sachen sind normal und das .depend.boot muss ja hdparm enthalten, wenn hdparm installiert ist. Stell lieber sicher, dass dein Kernel aktuell ist und ein d-u durchgeführt wurde.


Besten Dank für die schnelle Antwort

mfg
McM
TheOne - 12.02.2012, 14:23 Uhr
Titel: Re: RKHUNTER Positiiv Meldung
Hab das Thema mal aus dem englischen Forum ins deutsche verschoben Winken
http://kanotix.com/PNphpBB2-viewtopic-t-27016.html

Gruß TheOne
Alle Zeiten sind GMT + 1 Stunde
PNphpBB2 © 2003-2007