Alerta de rootkit no rkhunter ( Praticamente Resolvido )

[dtomadon]

Pessoal segue abaixo a última vez passei o rkhunter deu três arquivos suspeitos

Coloquei somente o final da saída no terminal

System checks summary
=====================

File properties checks...
   Files checked: 133
   Suspect files: 3

Rootkit checks...
   Rootkits checked : 245
   Possible rootkits: 2
   Rootkit names    : Possible rootkit component, Xzibit Rootkit

Applications checks...
   All checks skipped

The system checks took: 7 minutes and 59 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Qual ação devo tomar ?

[eliseu_carvalho]

Nenhuma. Rootkits e coisas do tipo são para "uíndous" 

[zekkerj]

Nenhuma. Rootkits e coisas do tipo são para "uíndous" 

Piiiiiiiiiiiiiiii. Resposta errada.

RootKit é uma ameaça completamente presente no Linux, aliás, isso começou no Linux, e só depois foi levado pro windows.

dtomadon, vc poderia listar quais foram os arquivos encontrados pelo rkhunter?

[dtomadon]

Nenhuma. Rootkits e coisas do tipo são para "uíndous" 

Camarada pode procurar a respeito a literatura é farta !!!

Zekkerj desculpe a demora segue abaixo somente os arquivos que estão como warning


/usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ Warning ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ Warning ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]

sbin/runlevel                                           [ OK ]
    /sbin/sulogin                                            [ Warning ]
    /sbin/sysctl                                             [ OK ]

Mais abaixo no fim do texto :

Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]

    Checking for possible rootkit files and directories      [ Warning ]

    Checking for possible rootkit strings                    [ Warning ]

Performing system configuration file checks
    Checking for SSH configuration file                      [ Found ]
    Checking if SSH root access is allowed                   [ Warning ]
    Checking if SSH protocol v1 is allowed                   [ Not allowed ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

System checks summary
=====================

File properties checks...
    Files checked: 133
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 245
    Possible rootkits: 2
    Rootkit names    : Possible rootkit component, Xzibit Rootkit

Applications checks...
    All checks skipped

The system checks took: 1 minute and 5 seconds

All results have been written to the log file (/var/log/rkhunter.log)


Valeu desde já !!

[dtomadon]

Zekkerj seguinte , fui atrás de informações e achei muita coisa sobre falsos positivos , inclusive em instalações do zero no mandriva que após a primeira atualização

ao rodar o rkhunter mostram o mesmo rootkit ativo.

Nesse post em  http://ubuntuforums.org/archive/index.php/t-604068.html

Just open a terminal and type in : sudo rkhunter --propupd hit enter it will ask for your password and it should fix the issue.

Just be aware that if you are pasting this into the terminal it contains a space after rkhunter and two - - of these side by side sometimes the forums display characters wrong and this may be the cause.

sudo rkhunter --propupd

sudo rkhunter --update

sudo rkhunter --checkall --nocolors

see how that goes.

Pelo que entendi com meu inglês chulé

Ele recomenda a atualização do rkhunter para tentar solucionar esse problema

O fiz

E segue o novo scan do rkhunter:

Performing 'strings' command checks
   Checking 'strings' command                               [ OK ]

 Performing 'shared libraries' checks
   Checking for preloading variables                        [ None found ]
   Checking for preloaded libraries                         [ None found ]
   Checking LD_LIBRARY_PATH variable                        [ Not found ]

 Performing file properties checks
   Checking for prerequisites                               [ OK ]
   /bin/bash                                                [ OK ]
   /bin/cat                                                 [ OK ]
   /bin/chmod                                               [ OK ]
   /bin/chown                                               [ OK ]
   /bin/cp                                                  [ OK ]
   /bin/date                                                [ OK ]
   /bin/df                                                  [ OK ]
   /bin/dmesg                                               [ OK ]
   /bin/echo                                                [ OK ]
   /bin/ed                                                  [ OK ]
   /bin/egrep                                               [ OK ]
   /bin/fgrep                                               [ OK ]
   /bin/fuser                                               [ OK ]
   /bin/grep                                                [ OK ]
   /bin/ip                                                  [ OK ]
   /bin/kill                                                [ OK ]
   /bin/less                                                [ OK ]
   /bin/login                                               [ OK ]
   /bin/ls                                                  [ OK ]
   /bin/lsmod                                               [ OK ]
   /bin/mktemp                                              [ OK ]
   /bin/more                                                [ OK ]
   /bin/mount                                               [ OK ]
   /bin/mv                                                  [ OK ]
   /bin/netstat                                             [ OK ]
   /bin/ps                                                  [ OK ]
   /bin/pwd                                                 [ OK ]
   /bin/readlink                                            [ OK ]
   /bin/sed                                                 [ OK ]
   /bin/sh                                                  [ OK ]
   /bin/su                                                  [ OK ]
   /bin/touch                                               [ OK ]
   /bin/uname                                               [ OK ]
   /bin/which                                               [ OK ]
   /bin/dash                                                [ OK ]
   /usr/bin/awk                                             [ OK ]
   /usr/bin/basename                                        [ OK ]
   /usr/bin/chattr                                          [ OK ]
   /usr/bin/cut                                             [ OK ]
   /usr/bin/diff                                            [ OK ]
   /usr/bin/dirname                                         [ OK ]
   /usr/bin/dpkg                                            [ OK ]
   /usr/bin/dpkg-query                                      [ OK ]
   /usr/bin/du                                              [ OK ]
   /usr/bin/env                                             [ OK ]
   /usr/bin/file                                            [ OK ]
   /usr/bin/find                                            [ OK ]
   /usr/bin/GET                                             [ OK ]
   /usr/bin/groups                                          [ OK ]
   /usr/bin/head                                            [ OK ]
   /usr/bin/id                                              [ OK ]
   /usr/bin/killall                                         [ OK ]
   /usr/bin/last                                            [ OK ]   No scan anterior estava como warning
   /usr/bin/lastlog                                         [ OK ]
   /usr/bin/ldd                                             [ OK ]   No scan anterior estava marcado como warning
   /usr/bin/less                                            [ OK ]
   /usr/bin/locate                                          [ OK ]
   /usr/bin/logger                                          [ OK ]
   /usr/bin/lsattr                                          [ OK ]
   /usr/bin/lsof                                            [ OK ]
   /usr/bin/mail                                            [ OK ]
   /usr/bin/md5sum                                          [ OK ]
   /usr/bin/mlocate                                         [ OK ]
   /usr/bin/newgrp                                          [ OK ]
   /usr/bin/passwd                                          [ OK ]
   /usr/bin/perl                                            [ OK ]
   /usr/bin/pgrep                                           [ OK ]
   /usr/bin/pstree                                          [ OK ]
   /usr/bin/rkhunter                                        [ OK ]
   /usr/bin/runcon                                          [ OK ]
   /usr/bin/sha1sum                                         [ OK ]
   /usr/bin/sha224sum                                       [ OK ]
   /usr/bin/sha256sum                                       [ OK ]
   /usr/bin/sha384sum                                       [ OK ]
   /usr/bin/sha512sum                                       [ OK ]
   /usr/bin/size                                            [ OK ]
   /usr/bin/sort                                            [ OK ]
   /usr/bin/stat                                            [ OK ]
   /usr/bin/strace                                          [ OK ]
   /usr/bin/strings                                         [ OK ]
   /usr/bin/sudo                                            [ OK ]
   /usr/bin/tail                                            [ OK ]
   /usr/bin/test                                            [ OK ]
   /usr/bin/top                                             [ OK ]
   /usr/bin/touch                                           [ OK ]
   /usr/bin/tr                                              [ OK ]
   /usr/bin/uniq                                            [ OK ]
   /usr/bin/users                                           [ OK ]
   /usr/bin/vmstat                                          [ OK ]
   /usr/bin/w                                               [ OK ]
   /usr/bin/watch                                           [ OK ]
   /usr/bin/wc                                              [ OK ]
   /usr/bin/wget                                            [ OK ]
   /usr/bin/whatis                                          [ OK ]
   /usr/bin/whereis                                         [ OK ]
   /usr/bin/which                                           [ OK ]
   /usr/bin/who                                             [ OK ]
   /usr/bin/whoami                                          [ OK ]
   /usr/bin/mawk                                            [ OK ]
   /usr/bin/lwp-request                                     [ OK ]
   /usr/bin/bsd-mailx                                       [ OK ]
   /usr/bin/w.procps                                        [ OK ]
   /sbin/depmod                                             [ OK ]
   /sbin/ifconfig                                           [ OK ]
   /sbin/ifdown                                             [ OK ]
   /sbin/ifup                                               [ OK ]
   /sbin/init                                               [ OK ]
   /sbin/insmod                                             [ OK ]
   /sbin/ip                                                 [ OK ]
   /sbin/lsmod                                              [ OK ]
   /sbin/modinfo                                            [ OK ]
   /sbin/modprobe                                           [ OK ]
   /sbin/rmmod                                              [ OK ]
   /sbin/runlevel                                           [ OK ]
   /sbin/sulogin                                            [ OK ]  No scan anterior estava como warning
   /sbin/sysctl                                             [ OK ]
   /usr/sbin/adduser                                        [ OK ]
   /usr/sbin/chroot                                         [ OK ]
   /usr/sbin/cron                                           [ OK ]
   /usr/sbin/groupadd                                       [ OK ]
   /usr/sbin/groupdel                                       [ OK ]
   /usr/sbin/groupmod                                       [ OK ]
   /usr/sbin/grpck                                          [ OK ]
   /usr/sbin/nologin                                        [ OK ]
   /usr/sbin/prelink                                        [ OK ]
   /usr/sbin/pwck                                           [ OK ]
   /usr/sbin/rsyslogd                                       [ OK ]
   /usr/sbin/tcpd                                           [ OK ]
   /usr/sbin/useradd                                        [ OK ]
   /usr/sbin/userdel                                        [ OK ]
   /usr/sbin/usermod                                        [ OK ]
   /usr/sbin/vipw                                           [ OK ]
   /usr/sbin/unhide-linux26                                 [ OK ]

[Press <ENTER> to continue]




 Performing additional rootkit checks
   Suckit Rookit additional checks                          [ OK ]

   Checking for possible rootkit files and directories      [ Warning ]

   Checking for possible rootkit strings                    [ Warning ]

 Performing malware checks
   Checking running processes for suspicious files          [ None found ]
   Checking for login backdoors                             [ None found ]
   Checking for suspicious directories                      [ None found ]
   Checking for sniffer log files                           [ None found ]

 Performing Linux specific checks
   Checking loaded kernel modules                           [ OK ]
   Checking kernel module names                             [ OK ]

[Press <ENTER> to continue]

Checking the network...


 Performing checks on the network interfaces
   Checking for promiscuous interfaces                      [ None found ]

[Press <ENTER> to continue]

Checking the local host...

 Performing system boot checks
   Checking for local host name                             [ Found ]
   Checking for system startup files                        [ Found ]
   Checking system startup files for malware                [ None found ]

 Performing group and account checks
   Checking for passwd file                                 [ Found ]
   Checking for root equivalent (UID 0) accounts            [ None found ]
   Checking for passwordless accounts                       [ None found ]
   Checking for passwd file changes                         [ None found ]
   Checking for group file changes                          [ None found ]
   Checking root account shell history files                [ OK ]

 Performing system configuration file checks
   Checking for SSH configuration file                      [ Found ]
   Checking if SSH root access is allowed                   [ Warning ] Minha dúvida aqui, não entendi esse warning ?
   Checking if SSH protocol v1 is allowed                   [ Not allowed ]
   Checking for running syslog daemon                       [ Found ]
   Checking for syslog configuration file                   [ Found ]
   Checking if syslog remote logging is allowed             [ Not allowed ]

 Performing filesystem checks
   Checking /dev for suspicious file types                  [ Warning ]
   Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]



System checks summary
=====================

File properties checks...
   Files checked: 133
   Suspect files: 0

Rootkit checks...
   Rootkits checked : 245
   Possible rootkits: 2
   Rootkit names    : Possible rootkit component, Xzibit Rootkit

Applications checks...
   All checks skipped

The system checks took: 1 minute and 10 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Mas ainda desconfiado abri o /var/log/rkhunter.log

Pois mostra possíveis strings e diretórios suspeitos

O único arquivo que rodei não baixado dos repositórios foi um .bin do site da sun ( precisava do java pra poder fazer um curso online da IBM )

E o mesmo está referenciado no log do rkhunter

Warning: Checking for possible rootkit files and directories [ Warning ]
[07:29:58]          Found directory '/lib/java'. Possible rootkit: Possible rootkit component

Essa outra parte do log referencia ao hdparm

Checking for string 'hdparm'                  [ Warning ]
Warning: Checking for possible rootkit strings    [ Warning ]
[07:30:07]          Found string 'hdparm' in file '/etc/rc.local'. Possible rootkit: Xzibit Rootkit

O hdparm foi colocado por mim no /etc/rc.local seguindo o tutorial do galactus para otimização do sistema ele altera a velocidade de funcionamento do hd.

Segue mais um pedaço do log:

Performing filesystem checks
[07:30:32] Info: Starting test name 'filesystem'
[07:30:32] Info: SCAN_MODE_DEV set to 'THOROUGH'
[07:30:32]   Checking /dev for suspicious file types         [ Warning ]
[07:30:32] Warning: Suspicious file types found in /dev:
[07:30:32]          /dev/shm/mono-shared-1000-shared_fileshare-dtomadon-I41SI-Linux-x86_64-40-12-0: data
[07:30:32]          /dev/shm/mono-shared-1000-shared_data-dtomadon-I41SI-Linux-x86_64-328-12-0: data
[07:30:32]          /dev/shm/mono.3092: data
[07:30:32]   Checking for hidden files and directories       [ Warning ]
[07:30:32] Warning: Hidden directory found: /etc/.java
[07:30:32] Warning: Hidden directory found: /dev/.udev
[07:30:32] Warning: Hidden directory found: /dev/.initramfs
[07:30:32] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[07:30:32] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text

Coloquei coisa pra dedéu mas acho que é necessário.

Retirei algumas partes pois estava excedendo o limite de caracteres !!

Se puder analisar os dados agradeço!

[zekkerj]

dtomadon, a ocorrência de um warning é sempre motivo de preocupação; mas sempre deve ser visto como sinal de que o programa de verificação encontrou alguma coisa que ele acha que não deveria estar lá.

A questão em torno dos warnings está em torno de se você lembra ou não de ter feito a alteração percebida.

Checking if SSH root access is allowed                   [ Warning ] Minha dúvida aqui, não entendi esse warning ?

O sistema verificou que o ssh está configurado pra permitir acesso direto como root. Por padrão (e por recomendação) isso não é permitido.

[dtomadon]

dtomadon, a ocorrência de um warning é sempre motivo de preocupação; mas sempre deve ser visto como sinal de que o programa de verificação encontrou alguma coisa que ele acha que não deveria estar lá.

A questão em torno dos warnings está em torno de se você lembra ou não de ter feito a alteração percebida.

Checking if SSH root access is allowed                   [ Warning ] Minha dúvida aqui, não entendi esse warning ?

O sistema verificou que o ssh está configurado pra permitir acesso direto como root. Por padrão (e por recomendação) isso não é permitido.

Somente em relação ao hdparm realmente eu alterei o etc/rc.local
os demais saíram o aviso de warning após a atualização do rkhunter nos comandos que citei.
Agora se puder me orientar como altero o acesso ao ssh agradeço!

[zekkerj]

Agora se puder me orientar como altero o acesso ao ssh agradeço!

Pegue o arquivo "/etc/ssh/ssh_config", e altere a opção "PermitRootLogin" de "yes" para "no".
Depois reinicie o serviço:

sudo service ssh restart

[dtomadon]

segue abaixo o arquivo :



# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no


Coloquei ele porque não há nada referenciado ao que pediu, então criei ela!

[jkmsjq]

Verificando o meu Desktop com o rkhunter ele identificou alguns "Warning", posto a seguir o resultado resumido e gostaria do conselho se há algum perigo eminente nesses Warning ou se posso ficar sossegado...

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]



Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

Valeu...

Fui...

Até mais...

[zekkerj]

segue abaixo o arquivo :
...
Coloquei ele porque não há nada referenciado ao que pediu, então criei ela!

Não, pode desfazer: o arquivo é "sshd_config", não "ssh_config". Os dois devem existir no mesmo diretório.

[dtomadon]

segue abaixo o arquivo :
...
Coloquei ele porque não há nada referenciado ao que pediu, então criei ela!

Não, pode desfazer: o arquivo é "sshd_config", não "ssh_config". Os dois devem existir no mesmo diretório.

Beleza já desfiz e corrigi o arquivo correto, quanto aos warning remanescentes, o do arquivo /etc/rc.local se comentar a linha que alterei o rkhunter para de detectar como possível string , esse realmente alterei, o diretório /lib/java continua com o alerta mas esse foi o único que instalei fora dos repositórios, mas baixado diretamente da Sun

O que pude assimilar de aprendizado com essa situação até agora é que o conhecimento de nosso sistema é fundamental na hora de avaliar se os avisos de um software
de monitoramento como o rkhunter se realmente é um malware ou um falso positivo, mas a pulga fica atrás da orelha.

Agradeço pela ajuda e pelos ensinamentos aqui postados por você Zekkerj e um Feliz Natal a todos !