01.08.2011 08:22

Rootkit Hunter anpassen

Der Linux Home Server wird zeitgesteuert per cronjob regelmäßig sicherheitsüberprüft. Dabei kommt unter anderem rkhunter zum Einsatz.

Nach einer Softwareaktualisierung fand sich in den E-Mails des Systemadministrators neben anderen die folgende, hier gekürzt wiedergegebene Nachricht:


Betreff: [rkhunter] bluestar.domo.reto - Daily report
Warnung: Dateieigenschaften haben sich geändert:
         Datei: /usr/bin/curl
         Aktueller Hash-Wert: ...
         Gespeicherter Hash-Wert: ...
         Aktueller Knoten (inode): ...    
         Gespeicherter Knoten (inode): ...
         Aktuelle Zeit der letzten Dateiänderung: ...
         Gespeicherte Zeit der letzten Dateiänderung : ...
Warnung: Dateieigenschaften haben sich geändert:
         Datei: /usr/bin/perl
         [...]
Eine oder mehrere Warnungen während der System-Überprüfung gefunden.
Bitte überprüfen Sie die Log-Datei (/var/log/rkhunter.log)

Die Log-Datei endet mit folgenden Zeilen:


/var/log/rkhunter.log
[07:39:51] Zusammenfassung der Systemüberprüfung
[07:39:51] =====================
[07:39:51]
[07:39:51] Dateieigenschaften-Überprüfung...
[07:39:51] Dateien überprüft: 135
[07:39:51] Verdächtige Dateien: 2
[07:39:51]
[07:39:51] Rootkit-Überprüfungen...
[07:39:51] Rootkits überprüft : 248
[07:39:51] Mögliche Rootkits: 0
[07:39:51]
[07:39:51] Dauer der System-Überprüfung: 1 minute and 42 seconds

Da in diesem Fall eine gewollte Softwareaktualisierung stattgefunden hat, muss nun dem RootKit Hunter mitgeteilt werden, dass die Änderung der Dateieigenschaften in Ordnung ist.


root@bluestar:~# rkhunter --propupd /usr/bin/curl,/usr/bin/perl
[ Rootkit Hunter Version 1.3.6 ]
Datei updated: gesucht nach 162 Dateien, gefunden wurden 2 von 135

Wenn man anschließend rkhunter manuell ausführt, enthält die Log-Datei keine Hinweise mehr auf verdächtige Dateien.


Geschrieben von root | Permanenter Link | Kategorien: Verwaltung