rkhunter e comando /usr/bin/file

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
corrado
Linux 2.4
Linux 2.4
Messaggi: 218
Iscritto il: dom feb 13, 2005 0:00
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4
Località: isola del liri
Contatta:

rkhunter e comando /usr/bin/file

Messaggioda corrado » ven apr 06, 2007 19:17

Ciao a tutti,
qualche giorno fa ho fatto l'update del pacchetto file (file-4.20-i486-1_slack11.0.tgz) ed oggi ho fatto una scansione con rkhunter.
Ho aggiornato la versione di rkhunter alla 1.2.9, ho dato il comando

Codice: Seleziona tutto

rkhunter --update

e poi

Codice: Seleziona tutto

rkhunter -c

e anche ripetendo più volte la scansione e l'update ho sempre ottenuto il seguente risultato:

Codice: Seleziona tutto

MD5 scan
Scanned files: 43
Incorrect MD5 checksums: 1

dovuto al seguente:

Codice: Seleziona tutto

[...]
* System tools
   [...]
  Performing 'known good' check... /usr/bin/file               [ BAD ]
   [...]


Qualcuno sa spiegarmi il perchè?

Saluti
corrado

Dani
Linux 3.x
Linux 3.x
Messaggi: 1447
Iscritto il: mer apr 26, 2006 1:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » ven apr 06, 2007 20:17

A me invece dà BAD con chattr e lsattr...Ho rimosso il pacchetto di slacky e2fsprogs-1.39-i486-1gi e ho installato l'altro (sempre di slacky) e ora non si lamenta piu' :- p

Avatar utente
corrado
Linux 2.4
Linux 2.4
Messaggi: 218
Iscritto il: dom feb 13, 2005 0:00
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4
Località: isola del liri
Contatta:

Messaggioda corrado » ven apr 06, 2007 20:20

Dani ha scritto:A me invece dà BAD con chattr e lsattr...Ho rimosso il pacchetto di slacky e2fsprogs-1.39-i486-1gi e ho installato l'altro (sempre di slacky) e ora non si lamenta piu' :- p


Ho scaricato il pacchetto da ftp.slackware.com ed ho fatto nuovamente
"upgradepkg --install-new" ma il risultato è sempre lo stesso...

Saluti
corrado

Avatar utente
marghe
Linux 2.6
Linux 2.6
Messaggi: 525
Iscritto il: lun ago 07, 2006 23:39

Re: rkhunter e comando /usr/bin/file

Messaggioda marghe » ven apr 06, 2007 22:08

corrado ha scritto:Ciao a tutti,
qualche giorno fa ho fatto l'update del pacchetto file (file-4.20-i486-1_slack11.0.tgz) ed oggi ho fatto una scansione con rkhunter.
Ho aggiornato la versione di rkhunter alla 1.2.9, ho dato il comando

Codice: Seleziona tutto

rkhunter --update

e poi

Codice: Seleziona tutto

rkhunter -c

e anche ripetendo più volte la scansione e l'update ho sempre ottenuto il seguente risultato:

Codice: Seleziona tutto

MD5 scan
Scanned files: 43
Incorrect MD5 checksums: 1

dovuto al seguente:

Codice: Seleziona tutto

[...]
* System tools
   [...]
  Performing 'known good' check... /usr/bin/file               [ BAD ]
   [...]


Qualcuno sa spiegarmi il perchè?

Saluti
corrado


Ho provato succede anche a me

Avatar utente
corrado
Linux 2.4
Linux 2.4
Messaggi: 218
Iscritto il: dom feb 13, 2005 0:00
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4
Località: isola del liri
Contatta:

Messaggioda corrado » sab apr 07, 2007 10:58

Su alt.os.linux.slackware mi hanno dato questo link:
http://www.linuxquestions.org/questions ... p?t=543361

Saluti
corrado

Avatar utente
marghe
Linux 2.6
Linux 2.6
Messaggi: 525
Iscritto il: lun ago 07, 2006 23:39

Messaggioda marghe » sab apr 07, 2007 11:42

corrado ha scritto:Su alt.os.linux.slackware mi hanno dato questo link:
http://www.linuxquestions.org/questions ... p?t=543361

Saluti
corrado


Anche facendo l'update il risultato non cambia, comunque anch'io credo sia un falso allarme....

avevo controllato l'md5sum con quello del sito di slackware anch'io (sebbene mi pare che abbiano già dimostrato che l'md5sum sia scardinabile)

aspettiamo un attimo e continuiamo ad aggiornarte rkhuter...

Avatar utente
marghe
Linux 2.6
Linux 2.6
Messaggi: 525
Iscritto il: lun ago 07, 2006 23:39

Messaggioda marghe » lun ago 06, 2007 12:42

Tra l'altro il problema continua ad esistere.....

bloodlust
Linux 2.6
Linux 2.6
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Slackware: -1
Località: it_IT

Messaggioda bloodlust » lun ago 06, 2007 16:18

Non c'è nessun problema è normale che rkhunter vi dia la segnalazione.
Dovete aggiornare il database dei checksum che rkhunter utilizza per verificare se un file è stato alterato (cosa che OVVIAMENTE succede se aggiornate un pacchetto Slackware che contiene uno dei file considerati critici da rkhunter).
Dal sito è possibile scaricare un semplice script che dovrebbe fare il lavoro per voi (hashupd.sh - mai provato dato che non utilizzo rkhunter).

Avatar utente
marghe
Linux 2.6
Linux 2.6
Messaggi: 525
Iscritto il: lun ago 07, 2006 23:39

Messaggioda marghe » lun ago 06, 2007 16:26

Grazie della segnalazione

bloodlust
Linux 2.6
Linux 2.6
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Slackware: -1
Località: it_IT

Messaggioda bloodlust » lun ago 06, 2007 16:33

prego


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti