Repository 32bit  Forum
Repository 64bit  Wiki

rkhunter e comando /usr/bin/file

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

rkhunter e comando /usr/bin/file

Messaggioda corrado » ven apr 06, 2007 18:17

Ciao a tutti,
qualche giorno fa ho fatto l'update del pacchetto file (file-4.20-i486-1_slack11.0.tgz) ed oggi ho fatto una scansione con rkhunter.
Ho aggiornato la versione di rkhunter alla 1.2.9, ho dato il comando
Codice: Seleziona tutto
rkhunter --update

e poi
Codice: Seleziona tutto
rkhunter -c

e anche ripetendo più volte la scansione e l'update ho sempre ottenuto il seguente risultato:
Codice: Seleziona tutto
MD5 scan
Scanned files: 43
Incorrect MD5 checksums: 1

dovuto al seguente:
Codice: Seleziona tutto
[...]
* System tools
   [...]
  Performing 'known good' check... /usr/bin/file               [ BAD ]
   [...]


Qualcuno sa spiegarmi il perchè?

Saluti
corrado
Avatar utente
corrado
Linux 2.4
Linux 2.4
 
Messaggi: 218
Iscritto il: dom feb 13, 2005 0:00
Località: isola del liri
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4

Messaggioda Dani » ven apr 06, 2007 19:17

A me invece dà BAD con chattr e lsattr...Ho rimosso il pacchetto di slacky e2fsprogs-1.39-i486-1gi e ho installato l'altro (sempre di slacky) e ora non si lamenta piu' :- p
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda corrado » ven apr 06, 2007 19:20

Dani ha scritto:A me invece dà BAD con chattr e lsattr...Ho rimosso il pacchetto di slacky e2fsprogs-1.39-i486-1gi e ho installato l'altro (sempre di slacky) e ora non si lamenta piu' :- p


Ho scaricato il pacchetto da ftp.slackware.com ed ho fatto nuovamente
"upgradepkg --install-new" ma il risultato è sempre lo stesso...

Saluti
corrado
Avatar utente
corrado
Linux 2.4
Linux 2.4
 
Messaggi: 218
Iscritto il: dom feb 13, 2005 0:00
Località: isola del liri
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4

Re: rkhunter e comando /usr/bin/file

Messaggioda marghe » ven apr 06, 2007 21:08

corrado ha scritto:Ciao a tutti,
qualche giorno fa ho fatto l'update del pacchetto file (file-4.20-i486-1_slack11.0.tgz) ed oggi ho fatto una scansione con rkhunter.
Ho aggiornato la versione di rkhunter alla 1.2.9, ho dato il comando
Codice: Seleziona tutto
rkhunter --update

e poi
Codice: Seleziona tutto
rkhunter -c

e anche ripetendo più volte la scansione e l'update ho sempre ottenuto il seguente risultato:
Codice: Seleziona tutto
MD5 scan
Scanned files: 43
Incorrect MD5 checksums: 1

dovuto al seguente:
Codice: Seleziona tutto
[...]
* System tools
   [...]
  Performing 'known good' check... /usr/bin/file               [ BAD ]
   [...]


Qualcuno sa spiegarmi il perchè?

Saluti
corrado


Ho provato succede anche a me
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Messaggioda corrado » sab apr 07, 2007 9:58

Su alt.os.linux.slackware mi hanno dato questo link:
http://www.linuxquestions.org/questions ... p?t=543361

Saluti
corrado
Avatar utente
corrado
Linux 2.4
Linux 2.4
 
Messaggi: 218
Iscritto il: dom feb 13, 2005 0:00
Località: isola del liri
Nome Cognome: corrado
Slackware: current
Kernel: 2.6.29.6-smp
Desktop: kde-4

Messaggioda marghe » sab apr 07, 2007 10:42

corrado ha scritto:Su alt.os.linux.slackware mi hanno dato questo link:
http://www.linuxquestions.org/questions ... p?t=543361

Saluti
corrado


Anche facendo l'update il risultato non cambia, comunque anch'io credo sia un falso allarme....

avevo controllato l'md5sum con quello del sito di slackware anch'io (sebbene mi pare che abbiano già dimostrato che l'md5sum sia scardinabile)

aspettiamo un attimo e continuiamo ad aggiornarte rkhuter...
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Messaggioda marghe » lun ago 06, 2007 11:42

Tra l'altro il problema continua ad esistere.....
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Messaggioda bloodlust » lun ago 06, 2007 15:18

Non c'è nessun problema è normale che rkhunter vi dia la segnalazione.
Dovete aggiornare il database dei checksum che rkhunter utilizza per verificare se un file è stato alterato (cosa che OVVIAMENTE succede se aggiornate un pacchetto Slackware che contiene uno dei file considerati critici da rkhunter).
Dal sito è possibile scaricare un semplice script che dovrebbe fare il lavoro per voi (hashupd.sh - mai provato dato che non utilizzo rkhunter).
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1

Messaggioda marghe » lun ago 06, 2007 15:26

Grazie della segnalazione
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Messaggioda bloodlust » lun ago 06, 2007 15:33

prego
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti