Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
28.09.2020, 13:37:48

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
Statistiken
  • Beiträge insgesamt: 685186
  • Themen insgesamt: 55453
  • Heute online: 668
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online

Autor Thema: [erledigt] Rootkit-Suchlauf mit rkhunter: Ergebnisse interpretieren  (Gelesen 585 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

[erledigt] Rootkit-Suchlauf mit rkhunter: Ergebnisse interpretieren
« am: 10.10.2019, 18:00:45 »
Hallo zusammen
 Auf meinem Rechner
kw@Inspiron:/$ inxi -Fz
System:    Host: Inspiron Kernel: 4.15.0-65-generic i686 bits: 32 Desktop: Xfce 4.12.3 Distro: Linux Mint 19.2 Tina
Machine:   Type: Portable System: Dell product: MM061 v: N/A serial: <filter>
           Mobo: Dell model: 0XD720 serial: <filter> BIOS: Dell v: A17 date: 06/13/2007
CPU:       Topology: Dual Core model: Intel Core2 T7200 bits: 64 type: MCP L2 cache: 4096 KiB
           Speed: 998 MHz min/max: 1000/2000 MHz Core speeds (MHz): 1: 1198 2: 1152

... habe ich nach dem Lauf von "rkhunter"  folgende Meldungen:
kw@Inspiron:/$ sudo rkhunter --propupd
[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 180 files, found 145
kw@Inspiron:/$ sudo rkhunter -c -q --rwo --sk
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
Warning: The following suspicious (large) shared memory segments have been found:
         Process: /usr/bin/xfdesktop    PID: 2070    Owner: int    Size: 32MB (configured size allowed: 1,0MB)
         Process: /usr/bin/xfdesktop    PID: 13048    Owner: kw    Size: 32MB (configured size allowed: 1,0MB)
         Process: /usr/bin/xfce4-terminal    PID: 13261    Owner: kw    Size: 4,0MB (configured size allowed: 1,0MB)
         Process: /usr/bin/python3.6    PID: 2106    Owner: int    Size: 4,0MB (configured size allowed: 1,0MB)
         Process: /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1    PID: 2073    Owner: int    Size: 4,0MB (configured size allowed: 1,0MB)
         Process: /usr/lib/firefox/firefox    PID: 28539    Owner: kw    Size: 3,7MB (configured size allowed: 1,0MB)
         Process: /usr/lib/firefox/firefox    PID: 28539    Owner: kw    Size: 3,7MB (configured size allowed: 1,0MB)
Warning: Hidden directory found: /etc/.java

Liegen diese Meldungen in einem erwartbaren Rahmen, oder ist diesen nachzugehen?
Vielen Dank
« Letzte Änderung: 16.10.2019, 17:40:13 von grabbe »

Re: Rootkit-Suchlauf mit rkhunter: Ergebnisse interpretieren
« Antwort #1 am: 08.12.2019, 22:36:37 »
Hallo grabbe,
ich nutze keine Rootkit-/Virenscanner, außer hin und wieder 'clamav' um heruntergeladene Dateien zu scannen. Die 'warnings' scheinen harmlos. Es gibt eine Menge ähnlicher Fragestellungen und Antworten zu rkhunter über die web-suche (z.B.: https://metager.de/meta/meta.ger3?eingabe=%22configured+size+allowed%3A+1%2C0MB%22&submit-query=&focus=web)

Ich zitiere mal aus den rkhunter-mailing-lists (https://sourceforge.net/p/rkhunter/mailman/message/36511175/)
Zitat
*...The rest are the desktop processes, they use a lot of memory. Rkhunter is kind of expecting to be run on a server not a desktop. There is probably a way to get it to ignore  those processes. I get something similar occasionally when someone starts up a Firefox. I just ignore it."

Hast Du den Verdacht, daß Dein System kompromittiert wurde? Wenn ja, wie macht sich das bemerkbar?
rkhunter sollte nicht vom desktop laufen sondern von einer live-cd.

Gruß
Wurschtel

Re: Rootkit-Suchlauf mit rkhunter: Ergebnisse interpretieren
« Antwort #2 am: 13.05.2020, 18:34:56 »
Hallo
Danke für die Antwort. Ich vermisse ein bisschen das Thema "Systemsicherheit trotz LINUX" in diesem Forum und habe deshalb das Programm einmal ausprobiert. Ich verfolge das aber zwischenzeitlich nicht mehr.
Grüße

Re: Rootkit-Suchlauf mit rkhunter: Ergebnisse interpretieren
« Antwort #3 am: 13.05.2020, 18:53:13 »
Hier kannst du mal schauen wie man ein Linux härtet und welchen Level mal selbst hat:

https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/

Re: Rootkit-Suchlauf mit rkhunter: Ergebnisse interpretieren
« Antwort #4 am: 13.05.2020, 19:08:40 »
 ....genau diese Quelle habe ich mittlerweile erschlossen... :D