22.09.2014, 14:21 UhrDeutsch | English
Hallo Gast [ Registrierung | Anmelden ]

Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
Autor Nachricht
McMachine
19 Titel: RKHUNTER Positiiv Meldung  BeitragVerfasst am: 10.02.2012, 13:27 Uhr



Anmeldung: 28. Sep 2011
Beiträge: 3
Wohnort: somewhere
Hallo Kanotix Gurus,
anbei eine LogFile Auszug von RKHUNTER. Wie fast immer erhält man von solchen Programmen eine Warnung. Aber was sagt mir das. Ich wäre sehr dankbar für brauchbare Hinweise bevor ich daran denke mein System neu aufzusetzen.
Es ist immer nicht so einfach ein Positivmeldung gegen eine FalsePostive abzugrenzen.


Running Rootkit Hunter in Version 1.3.6 auf KanotixBox

[13:29:16] Information: Start Datum ist Fr 10. Feb 13:29:16 CET 2012

[13:29:16] Überprüfe Konfigurationsdatei und Kommandozeilen-Optionen...
[13:29:16] Information: Erkanntes Betriebssystem ist 'Linux'
[13:29:16] Information: Name des Betriebssystems gefunden: Debian 6.0.4
[13:29:16] Information: Kommandozeile ist /usr/bin/rkhunter --lang de -c
[13:29:16] Information: Umgebungsshell ist /bin/bash; rkhunter verwendet dash
[13:29:16] Information: Verwende Konfigurationsdatei '/etc/rkhunter.conf'

[13:29:22] Information: Datei '/bin/egrep' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:22] Information: Datei '/bin/fgrep' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:24] Information: Datei '/bin/which' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:26] Information: Datei '/usr/bin/groups' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:27] Information: Datei '/usr/bin/ldd' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

[13:29:33] Information: Datei '/usr/sbin/adduser' gefunden: diese ist mittels Whitelist freigegeben für 'script replacement' Überprüfung.

Warnung: Überprüfe auf mögliche Rootkit-Zeichenketten [ Warnung ]
[13:30:24] Zeichenkette 'hdparm' gefunden in Datei '/etc/init.d/.depend.boot'. Mögliches Rootkit: Xzibit Rootkit
[13:30:24] Zeichenkette 'hdparm' gefunden in Datei '/etc/init.d/hdparm'. Mögliches Rootkit: Xzibit Rootkit

Führe Dateisystem-Tests aus
[13:30:52] Information: Beginne mit dem Test 'filesystem'
[13:30:52] Information: SCAN_MODE_DEV gesetzt auf 'THOROUGH'
[13:30:52] Überprüfe /dev auf verdächtige Dateien [ Warnung ]
[13:30:52] Warnung: Verdächtige Dateitypen in /dev gefunden:
[13:30:52] /dev/shm/network/ifstate: ASCII text
[13:30:52] Überrpüfe auf versteckte Dateien und Verzeichnisse [ Warnung ]
[13:30:52] Warnung: Verstecktes Verzeichnis gefunden: /etc/.java
[13:30:52] Warnung: Verstecktes Verzeichnis gefunden: /dev/.udev
[13:30:52] Warnung: Verstecktes Verzeichnis gefunden: /dev/.initramfs

mfg
McM
 
 Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden  
Antworten mit Zitat Nach oben
Kano
Titel: RKHUNTER Positiiv Meldung  BeitragVerfasst am: 10.02.2012, 13:44 Uhr



Anmeldung: 17. Dez 2003
Beiträge: 16253

Ich seh jetzt nichts verdächtiges, da .java dir enthält eh nur 0 byte files, wenns dich stört einfach löschen. Die udev sachen sind normal und das .depend.boot muss ja hdparm enthalten, wenn hdparm installiert ist. Stell lieber sicher, dass dein Kernel aktuell ist und ein d-u durchgeführt wurde.
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
McMachine
25 Titel: Re: RKHUNTER Positiiv Meldung  BeitragVerfasst am: 10.02.2012, 15:24 Uhr



Anmeldung: 28. Sep 2011
Beiträge: 3
Wohnort: somewhere
Kano hat folgendes geschrieben::
Ich seh jetzt nichts verdächtiges, da .java dir enthält eh nur 0 byte files, wenns dich stört einfach löschen. Die udev sachen sind normal und das .depend.boot muss ja hdparm enthalten, wenn hdparm installiert ist. Stell lieber sicher, dass dein Kernel aktuell ist und ein d-u durchgeführt wurde.


Besten Dank für die schnelle Antwort

mfg
McM
 
 Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden  
Antworten mit Zitat Nach oben
TheOne
Titel: Re: RKHUNTER Positiiv Meldung  BeitragVerfasst am: 12.02.2012, 14:23 Uhr



Anmeldung: 15. Mar 2008
Beiträge: 610

Hab das Thema mal aus dem englischen Forum ins deutsche verschoben Winken
http://kanotix.com/PNphpBB2-viewtopic-t-27016.html

Gruß TheOne

_________________
Lenovo ThinkPad X220 | Core i7-2640M 16GB | Hellfire 3.6
FSC Tablet T4220 | Core2 Duo T7250 2GHz 3GB | Intel GMA X3100 | Hellfire 3.6
Clevo M570U | Core2 T7200 2GHz 2GB | Geforce Go 7950gtx | Hellfire 3.2
 
 Benutzer-Profile anzeigen Private Nachricht senden  
Antworten mit Zitat Nach oben
Beiträge vom vorherigen Thema anzeigen:     
Gehe zu:  
Alle Zeiten sind GMT + 1 Stunde
Neues Thema eröffnen   Neue Antwort erstellen
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
PNphpBB2 © 2003-2007 
 
Deutsch | English
Logos and trademarks are the property of their respective owners, comments are property of their posters, the rest is © 2004 - 2006 by Jörg Schirottke (Kano).
Consult Impressum and Legal Terms for details. Kanotix is Free Software released under the GNU/GPL license.
This CMS is powered by PostNuke, all themes used at this site are released under the GNU/GPL license. designed and hosted by w3you. Our web server is running on Kanotix64-2006.