rkhunter e comando /usr/bin/file

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
corrado
Linux 2.x
Linux 2.x
Messaggi: 218
Iscritto il: dom 13 feb 2005, 0:00
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4
Località: isola del liri
Contatta:
Contatta corrado

rkhunter e comando /usr/bin/file

Messaggio da corrado »

Ciao a tutti,
qualche giorno fa ho fatto l'update del pacchetto file (file-4.20-i486-1_slack11.0.tgz) ed oggi ho fatto una scansione con rkhunter.
Ho aggiornato la versione di rkhunter alla 1.2.9, ho dato il comando

Codice: Seleziona tutto

rkhunter --update
e poi

Codice: Seleziona tutto

rkhunter -c
e anche ripetendo più volte la scansione e l'update ho sempre ottenuto il seguente risultato:

Codice: Seleziona tutto

MD5 scan
Scanned files: 43
Incorrect MD5 checksums: 1
dovuto al seguente:

Codice: Seleziona tutto

[...]
* System tools
   [...]
  Performing 'known good' check... /usr/bin/file               [ BAD ]
   [...]
Qualcuno sa spiegarmi il perchè?

Saluti
corrado
Top
Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

A me invece dà BAD con chattr e lsattr...Ho rimosso il pacchetto di slacky e2fsprogs-1.39-i486-1gi e ho installato l'altro (sempre di slacky) e ora non si lamenta piu' :- p
Top
Avatar utente
corrado
Linux 2.x
Linux 2.x
Messaggi: 218
Iscritto il: dom 13 feb 2005, 0:00
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4
Località: isola del liri
Contatta:
Contatta corrado

Messaggio da corrado »

Dani ha scritto:A me invece dà BAD con chattr e lsattr...Ho rimosso il pacchetto di slacky e2fsprogs-1.39-i486-1gi e ho installato l'altro (sempre di slacky) e ora non si lamenta piu' :- p
Ho scaricato il pacchetto da ftp.slackware.com ed ho fatto nuovamente
"upgradepkg --install-new" ma il risultato è sempre lo stesso...

Saluti
corrado
Top
Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Re: rkhunter e comando /usr/bin/file

Messaggio da marghe »

corrado ha scritto:Ciao a tutti,
qualche giorno fa ho fatto l'update del pacchetto file (file-4.20-i486-1_slack11.0.tgz) ed oggi ho fatto una scansione con rkhunter.
Ho aggiornato la versione di rkhunter alla 1.2.9, ho dato il comando

Codice: Seleziona tutto

rkhunter --update
e poi

Codice: Seleziona tutto

rkhunter -c
e anche ripetendo più volte la scansione e l'update ho sempre ottenuto il seguente risultato:

Codice: Seleziona tutto

MD5 scan
Scanned files: 43
Incorrect MD5 checksums: 1
dovuto al seguente:

Codice: Seleziona tutto

[...]
* System tools
   [...]
  Performing 'known good' check... /usr/bin/file               [ BAD ]
   [...]
Qualcuno sa spiegarmi il perchè?

Saluti
corrado
Ho provato succede anche a me
Top
Avatar utente
corrado
Linux 2.x
Linux 2.x
Messaggi: 218
Iscritto il: dom 13 feb 2005, 0:00
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4
Località: isola del liri
Contatta:
Contatta corrado

Messaggio da corrado »

Su alt.os.linux.slackware mi hanno dato questo link:
http://www.linuxquestions.org/questions ... p?t=543361

Saluti
corrado
Top
Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Messaggio da marghe »

corrado ha scritto:Su alt.os.linux.slackware mi hanno dato questo link:
http://www.linuxquestions.org/questions ... p?t=543361

Saluti
corrado
Anche facendo l'update il risultato non cambia, comunque anch'io credo sia un falso allarme....

avevo controllato l'md5sum con quello del sito di slackware anch'io (sebbene mi pare che abbiano già dimostrato che l'md5sum sia scardinabile)

aspettiamo un attimo e continuiamo ad aggiornarte rkhuter...
Top
Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Messaggio da marghe »

Tra l'altro il problema continua ad esistere.....
Top
bloodlust
Linux 3.x
Linux 3.x
Messaggi: 523
Iscritto il: mar 14 feb 2006, 12:02
Slackware: -1
Località: it_IT

Messaggio da bloodlust »

Non c'è nessun problema è normale che rkhunter vi dia la segnalazione.
Dovete aggiornare il database dei checksum che rkhunter utilizza per verificare se un file è stato alterato (cosa che OVVIAMENTE succede se aggiornate un pacchetto Slackware che contiene uno dei file considerati critici da rkhunter).
Dal sito è possibile scaricare un semplice script che dovrebbe fare il lavoro per voi (hashupd.sh - mai provato dato che non utilizzo rkhunter).
Top
Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Messaggio da marghe »

Grazie della segnalazione
Top
bloodlust
Linux 3.x
Linux 3.x
Messaggi: 523
Iscritto il: mar 14 feb 2006, 12:02
Slackware: -1
Località: it_IT

Messaggio da bloodlust »

prego
Top
Rispondi

Torna a “Sicurezza”