Der Linux Home Server wird zeitgesteuert per cronjob regelmäßig sicherheitsüberprüft. Dabei kommt unter anderem rkhunter zum Einsatz.
Nach einer Softwareaktualisierung fand sich in den E-Mails des Systemadministrators neben anderen die folgende, hier gekürzt wiedergegebene Nachricht:
Betreff: [rkhunter] bluestar.domo.reto - Daily
report
Warnung: Dateieigenschaften haben sich geändert: Datei: /usr/bin/curl Aktueller Hash-Wert: ... Gespeicherter Hash-Wert: ... Aktueller Knoten (inode): ... Gespeicherter Knoten (inode): ... Aktuelle Zeit der letzten Dateiänderung: ... Gespeicherte Zeit der letzten Dateiänderung : ... Warnung: Dateieigenschaften haben sich geändert: Datei: /usr/bin/perl [...] Eine oder mehrere Warnungen während der System-Überprüfung gefunden. Bitte überprüfen Sie die Log-Datei (/var/log/rkhunter.log)
Die Log-Datei endet mit folgenden Zeilen:
/var/log/rkhunter.log
[07:39:51] Zusammenfassung der Systemüberprüfung [07:39:51] ===================== [07:39:51] [07:39:51] Dateieigenschaften-Überprüfung... [07:39:51] Dateien überprüft: 135 [07:39:51] Verdächtige Dateien: 2 [07:39:51] [07:39:51] Rootkit-Überprüfungen... [07:39:51] Rootkits überprüft : 248 [07:39:51] Mögliche Rootkits: 0 [07:39:51] [07:39:51] Dauer der System-Überprüfung: 1 minute and 42 seconds
Da in diesem Fall eine gewollte Softwareaktualisierung stattgefunden hat, muss nun dem RootKit Hunter mitgeteilt werden, dass die Änderung der Dateieigenschaften in Ordnung ist.
root@bluestar:~# rkhunter --propupd
/usr/bin/curl,/usr/bin/perl
[ Rootkit Hunter Version 1.3.6 ] Datei updated: gesucht nach 162 Dateien, gefunden wurden 2 von 135
Wenn man anschließend rkhunter manuell ausführt, enthält die Log-Datei keine Hinweise mehr auf verdächtige Dateien.