PDA

Visualizza la versione completa : rkhunter warning


GunMan
30-10-2007, 18:51
salve a tutti :)

ho avuto modo di fare alcuni controlli su una debian che uso come piccolo server casalingo, da un pò non avevo più avuto modo di stargli dietro.

ho eseguito alcuni test sul sistema compreso rkhunter ed ho notato che sono spuntati dei warning durante la scansione.

ad esempio:



[18:30:02] Warning: The file properties have changed:
[18:30:02] File: /bin/kill
[18:30:02] Current inode: 981545 Stored inode: 981137
[18:30:02] Current file modification time: 1191589008
[18:30:02] Stored file modification time : 1189455008


oppure



[18:30:06] Warning: The file properties have changed:
[18:30:06] File: /bin/ps
[18:30:06] Current inode: 981551 Stored inode: 981617
[18:30:06] Current file modification time: 1191589008
[18:30:06] Stored file modification time : 1189455008


preciso che tutti i warning hanno a che vedere con file binari, ho anche fatto una scansione con chkrootkit ma il log risulta immacolato.

vorrei chiedervi aiuto sull'interpretazione di questi warning ed, eventualmente, come operare per risolvere.

grazie anticipatamente per le eventuali risposte

:ciauz:

GunMan
31-10-2007, 14:45
up :)

GunMan
31-10-2007, 20:13
penso di aver capito il punto della questione, posto come fare nel caso altri incappassero nel problema.

in pratica è un problema di sincronizzazione tra il database di rkhunter e quello di sistema relativo agli eseguibili, una volta aggiornato l'hash del file non combacia più con quello di rkhunter e di qui il warning.

si tratta in pratica di aggiornare o sincronizzare mediante l'opzione --propupd


# rkhunter --propupd

:ciauz:

mmbarabba
01-11-2007, 01:59
Mi hai anticipato rispondendoti da solo

il comando
rkhunter -propupd
aggiorna rkhunter

se lanci rkhunter -c
esegui una scansione istantanea
ma forse tu ce l'hai in cron

probabilmente hai fatto qualche aggiornamento ultimamente
e qualche file è stato aggiornato
io dopo l'ultimo dist-upgrade ne ho trovati diversi
e dopo un rkhunter -h
ho trovato la stessa soluzione

Loading