[RISOLTO] Avvisi di Rkhunter

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

[RISOLTO] Avvisi di Rkhunter

Messaggioda umbraj » 13/07/2019, 13:21

Ho aggiornato recentemente a buster.
Ho trovato alcuni Warnings sul log di rkhunter di cui allego un estratto.
Potete aiutarmi a capire se sono problemi di cui preoccuparsi o solo 'falsi positivi'?
Grazie.
Allegati
rkhunter.log.gz
(704 Bytes) Scaricato 54 volte
Ultima modifica di umbraj il 14/07/2019, 5:43, modificato 1 volta in totale.
umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto

Re: Avvisi di Rkhunter

Messaggioda Aki » 13/07/2019, 13:46

Nel log che hai inviato risulta che sul tuo computer è in esecuzione un web server attivo (server apache):
Codice: Seleziona tutto
[02:18:34]   Checking for suspicious (large) shared memory segments [ Warning ]
[02:18:34] Warning: The following suspicious (large) shared memory segments have been found:
[02:18:34]          Process: /usr/sbin/apache2    PID: 7623    Owner: root    Size: 1,2MB (configured size allowed: 1,0MB)
[02:18:34]

Hai volontariamente un server apache in esecuzione ?
Aki
Global Moderator
Global Moderator
 
Messaggi: 8806
Iscritto il: 27/12/2007, 16:59

Re: Avvisi di Rkhunter

Messaggioda umbraj » 13/07/2019, 14:21

umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto

Re: Avvisi di Rkhunter

Messaggioda Aki » 13/07/2019, 14:43

In tal caso. non mi sembra ci siano altri elementi rilevanti; riporto il log nella sua interezza:
Codice: Seleziona tutto
[02:15:05] Running Rootkit Hunter version 1.4.6 on jupiter
[02:15:05]
[02:15:05] Info: Start date is sab 13 lug 2019, 02.15.05, CEST
[02:15:05]
[02:15:05] Checking configuration file and command-line options...
[02:15:05] Info: Detected operating system is 'Linux'
[02:15:05] Info: Found O/S name: Debian GNU/Linux 10 (buster)
[02:15:05] Info: Command line is /usr/bin/rkhunter --cronjob
[02:15:05] Info: Environment shell is /bin/sh; rkhunter is using dash
[02:15:05] Info: Using configuration file '/etc/rkhunter.conf'
[02:15:05] Info: Using local configuration file '/etc/rkhunter.conf.local'
............

[02:16:02]   /usr/sbin/tcpd                                  [ Warning ]
[02:16:02] Warning: The file '/usr/sbin/tcpd' does not exist on the system, but it is present in the 'rkhunter.dat' file.
.............

[02:18:34]   Checking for suspicious (large) shared memory segments [ Warning ]
[02:18:34] Warning: The following suspicious (large) shared memory segments have been found:
[02:18:34]          Process: /usr/sbin/apache2    PID: 7623    Owner: root    Size: 1,2MB (configured size allowed: 1,0MB)
[02:18:34]
................

[02:18:52] System checks summary
[02:18:52] =====================
[02:18:52]
[02:18:52] File properties checks...
[02:18:52] Files checked: 148
[02:18:52] Suspect files: 1
[02:18:52]
[02:18:52] Rootkit checks...
[02:18:53] Rootkits checked : 503
[02:18:53] Possible rootkits: 1
[02:18:53]
[02:18:53] Applications checks...
[02:18:53] All checks skipped
[02:18:53]
[02:18:53] The system checks took: 3 minutes and 45 seconds
[02:18:53]
[02:18:53] Info: End date is sab 13 lug 2019, 02.18.53, CEST

Cosa di preoccupa in particolare ?
Aki
Global Moderator
Global Moderator
 
Messaggi: 8806
Iscritto il: 27/12/2007, 16:59

Re: Avvisi di Rkhunter

Messaggioda umbraj » 13/07/2019, 15:08

Non mi preoccupa niente se è tutto a posto.

Mi resta tuttavia il dubbio sul perché /usr/sbin/tcpd non esiste più

Codice: Seleziona tutto
[02:16:02] Warning: The file '/usr/sbin/tcpd' does not exist on the system, but it is present in the 'rkhunter.dat' file.


Grazie mille per la risposta
umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto

Re: Avvisi di Rkhunter

Messaggioda Aki » 13/07/2019, 18:53

umbraj ha scritto:Mi resta tuttavia il dubbio sul perché /usr/sbin/tcpd non esiste più

Precedentemente all'aggiornamento era installato ?
Aki
Global Moderator
Global Moderator
 
Messaggi: 8806
Iscritto il: 27/12/2007, 16:59

Re: Avvisi di Rkhunter

Messaggioda umbraj » 13/07/2019, 19:36

Lo suppongo dal fatto che è presente nel file 'rkhunter.dat' come scritto nel log altrimenti ne ignorerei completamente l'esistenza
umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto

Re: Avvisi di Rkhunter

Messaggioda Aki » 13/07/2019, 20:03

Puoi controllare dal log gestore dei pacchetti (/var/log/apt) se è stato disinstallato (e, quindi, se era installato). In caso fosse stato installato, è stato recentemente declassato a “optional priority”:
Codice: Seleziona tutto
tcp-wrappers (7.6.q-28) unstable; urgency=medium

  * Demoted everything to optional priority.
  * Updated patch fix_warnings2 to fix more undefined functions.
  * Fixed patch size_t to actually use socklen_t.

 -- Marco d'Itri <md@linux.it>  Mon, 18 Feb 2019 01:54:18 +0100

Vedi https://sources.debian.org/src/tcp-wrappers/7.6.q-28/debian/changelog/
Aki
Global Moderator
Global Moderator
 
Messaggi: 8806
Iscritto il: 27/12/2007, 16:59

Re: Avvisi di Rkhunter

Messaggioda umbraj » 13/07/2019, 20:22

Trovato, è stato disinstallato con apt autoremove
umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto

Re: Avvisi di Rkhunter

Messaggioda umbraj » 13/07/2019, 22:16

Per quanto riguarda l'altro avviso presente nel log

Codice: Seleziona tutto
Checking for suspicious (large) shared memory segments [ Warning ]
[02:18:34] Warning: The following suspicious (large) shared memory segments have been found:
[02:18:34]          Process: /usr/sbin/apache2    PID: 7623    Owner: root    Size: 1,2MB (configured size allowed: 1,0MB)

ho trovato che il file di configurazione della nuova versione di Rkhunter ha l'opzione IPC_SEG_SIZE che serve ad impostare 'il massimo valore di segmento di memoria condivisa che non è considerato sospetto'. Aumentando il valore predifinito è sparito il warning!
umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto

Re: Avvisi di Rkhunter

Messaggioda Aki » 16/07/2019, 8:24

umbraj ha scritto:ho trovato che il file di configurazione della nuova versione di Rkhunter ha l'opzione IPC_SEG_SIZE che serve ad impostare 'il massimo valore di segmento di memoria condivisa che non è considerato sospetto'. Aumentando il valore predifinito è sparito il warning!

Si, ma basta che il server sia un po' più sotto carico rispetto a quanto non sia normalmente e, quindi, utilizzi più memoria di quanto hai previsto, ed il messaggio si ripresenterà di nuovo.
Aki
Global Moderator
Global Moderator
 
Messaggi: 8806
Iscritto il: 27/12/2007, 16:59

Re: [RISOLTO] Avvisi di Rkhunter

Messaggioda umbraj » 16/07/2019, 14:52

Ok, ne terrò conto se ricapita. L'importante è capire sempre qualcosina in più su come funziona la nostra "macchina".
Grazie di nuovo :-)
umbraj
Newbie
Newbie
 
Messaggi: 8
Iscritto il: 01/11/2017, 19:39
Località: Veneto


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti