Será que é vírus?

[Riccardo Petrillo]

Passei o comando rkhunter, e apareceu isso:   será vírus???


/usr/sbin/unhide                                         [ Warning ]
/usr/sbin/useradd                                       [ OK ]
/usr/sbin/userdel                                        [ OK ]
/usr/sbin/usermod                                      [ OK ]
/usr/sbin/vipw                                           [ OK ]
/usr/sbin/unhide-linux26                              [ Warning ]


 Performing group and account checks
    Checking for passwd file                                  [ Found ]
    Checking for root equivalent (UID 0) accounts     [ None found ]
    Checking for passwordless accounts                   [ None found ]
    Checking for passwd file changes                       [ Warning ]
    Checking for group file changes                         [ Warning ]
    Checking root account shell history files              [ OK ]


Performing filesystem checks
    Checking /dev for suspicious file types                 [ Warning ]
    Checking for hidden files and directories               [ Warning ]

[Tota]

Ola,

Impossivel receber informação de virus num pacote que só procura rootkits.

http://www.rootkit.nl/

Logo não é virus.

O que é necesário é aprender a usar o rkhunter

http://wiki.forumdebian.com.br/index.php/Rkhunter_%28ferramenta_para_detectar_rootkit%29
http://en.wikipedia.org/wiki/Rkhunter
http://0fx66.com/blog/linux/instalando-e-usando-o-rkhunter/

Boa pesquisa.


[],s

[Riccardo Petrillo]

Fiz o comando; rkhunter -c

/usr/sbin/unhide                                         [ Warning ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                         [ OK ]
    /usr/sbin/usermod                                       [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/unhide-linux26                           [ Warning ]


 Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts    [ None found ]
    Checking for passwordless accounts                  [ None found ]
    Checking for passwd file changes                      [ Warning ]
    Checking for group file changes                        [ Warning ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Not found ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]



No final apareceu o sumário:

System checks summary
=====================

File properties checks...
    Files checked: 128
    Suspect files: 2

Rootkit checks...
    Rootkits checked : 111
    Possible rootkits: 0

Applications checks...
    Applications checked: 3
    Suspect applications: 0

The system checks took: 4 minutes and 19 seconds

[plynott]

aqui também deu 'warnings':

  Performing filesystem checks
    Checking /dev for suspicious file types                 [ Warning ]
    Checking for hidden files and directories                [ Warning ]



como interpretar estes resultados?

[Alyscom]

no meu apareceu isso

/usr/sbin/unhide                                         [ Warning ]
/usr/sbin/unhide-linux26                                 [ Warning ]

depois isso

Checking /dev for suspicious file types                  [ Warning ]
Checking for hidden files and directories                [ Warning ]

[Riccardo Petrillo]

Então deve ser normal... espero rsss 

[scrpinheiro]

Então deve ser normal... espero rsss 

Aqui também? Ai meu Deus.

cesar@cesar-laptop:~$ sudo rkhunter -c --rwo
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-1874049200: data
         /dev/shm/pulse-shm-339357089: data
         /dev/shm/pulse-shm-1483009334: data
         /dev/shm/pulse-shm-3079274204: data
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
cesar@cesar-laptop:~$

[Kamei Hyoga]

scrpinheiro, aqui apareceu quase o mesmo, mas ae fui pesquisar ( http://ubuntuforums.org/showthread.php?p=4908163 ) e, se entendi bem, toda vez que você reinicia o pc, o pulse-shm-XXX muda o sufixo (XXX). Assim sendo, o skhunter gera o warning.

Leia isso como: "Ae dono do pc, esses arquivos aqui mudaram por algum motivo"

Os outros também são falsos positivos, ao que parece. Só estão ocultos e, pesquisando ( https://answers.launchpad.net/ubuntu/+question/34442 ), não parece ser nada fora do normal.

Vocês tem que prestar atenção é no final do log:

[06:42:42] System checks summary
[06:42:42] =====================
[06:42:42]
[06:42:42] File properties checks...
[06:42:42] Files checked: 126
[06:42:42] Suspect files: 0
[06:42:42]
[06:42:42] Rootkit checks...
[06:42:42] Rootkits checked : 109
[06:42:42] Possible rootkits: 0
[06:42:42]
[06:42:42] Applications checks...
[06:42:42] Applications checked: 4
[06:42:42] Suspect applications: 0
[06:42:42]
[06:42:42] The system checks took: 45 seconds
[06:42:42]
[06:42:42] Info: End date is Seg Nov 23 06:42:42 BRST 2009

Só fiquei curioso sobre o assunto e instalei e rodei faz alguns minutos. Não sou especialista nisso não.

[Tota]

Oba

Generalizando, mas não absoluto,

Todo arquivo do GNU/Linux possui um hash ( parecido ao md5sum quando baixa uma distro ) que fica junto aos arquivos nos repositórios e dentro do arquivo para comparação.

quando você dá um dpkg ou apt-get ou qualquer outro para baixar o arquivo, o instalador checa o hash para saber se o download não foi corrompido.

Não estando corrompido recebe um ok e instala.

o rkhunter usa este hash para comparar o arquivo dentro da sua maquina. Se este hash for diferente o arquivo passa a ser suspeito.

Pastas como .udev e .initramfs estão em constante mutação, pois informações são adicionadas a cada boot, ( no udev o seu hd por exemplo ) então é de se esperar um hash corrompido.

Este é o mesmo efeito causado por um rootkit, que se instala ( por exemplo no seu gimp-data, e passa a informar um hash diferente ) neste momento voce  sabendo que gimp-data não sofre alterações de tamanho nem de conteúdo passa a suspeitar de que algo foi alterado nele. Remove -se o arquivo gimp-data e  baixa -se um novo de uma fonte confiável. Fim do rootkit.

para manter seu sistema "saudável" voce pode manter um back up dos arquivos que sofrem alteração e comparar com os encontrados como "suspeitos", copie o back up por cima do original e passe o rkhunter de novo.

Recebeu o mesmo resultado, então são falsos positivos e podem ser ignorados.

[],s

[Riccardo Petrillo]

Acredito que não seja vírus, porque fiz a inspeção através do comando rkhunter -c, após ter formatado e reinstalado a raiz do sistema...