rkhunter ostrzega mnie przed „/ usr / bin / lwp-request” - co powinienem zrobić? [Debian 9]

26

Właśnie zainstalowałem i uruchomiłem rkhunter, który pokazuje mi zielone OK / Nie znaleziono dla wszystkiego oprócz: / usr / bin / lwp-request , tak jak:

/usr/bin/lwp-request                                     [ Warning ]

W dzienniku jest napisane:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Już biegłem rkhunter --propupdi sudo apt-get update && sudo apt-get upgradeco nie pomogło. Kilka dni temu zainstalowałem Debian 9.0 i jestem nowicjuszem w Linuksie.

Wszelkie sugestie dotyczące tego, co robić?

Edycja : Ponadto chkrootkit daje mi to:

Znaleziono następujące podejrzane pliki i katalogi: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

To chyba osobne pytanie? Czy to wcale nie jest problem? Nie wiem, jak sprawdzić, czy te pliki / katalogi są prawidłowe i potrzebne.

Edycja : Uwaga: Raz otrzymałem również ostrzeżenia dla „Sprawdzania zmian w pliku passwd” i „Sprawdzania zmian w pliku grupy”, mimo że nie zmieniłem żadnego takiego afaika. Wcześniejsze i późniejsze skanowanie nie pokazało żadnych ostrzeżeń - te pokazały tylko raz. Jakieś pomysły?

debian security rkhunter MINDSTREMIA
źródło
1
lwp-requestma być skryptem Perla, więc to dziwne ostrzeżenie.
derobert
@derobert Czy wtedy pojawia się ten sam błąd? Ostrzegam też, że został zastąpiony (chyba innym skryptem perla) - nie chodzi o to, że jest to skrypt perla. Skopiowałem jego zawartość tutaj: pastebin.com/bSLivGvz
mYnDstrEAm
1
Otrzymuję takie samo ostrzeżenie na moim polu testowym Debiana. Twój pastebin pasuje również do mojej kopii żądania lwp (choć ze zmianami końca linii, które, jak zakładam, pochodzą z pastebin). Podejrzewam więc fałszywy alarm.
derobert

Odpowiedzi:

25

rkhunter musi wiedzieć, jakiego menedżera pakietów używasz.

Utwórz lub edytuj /etc/rkhunter.conf.locali dodaj następujący wiersz:

PKGMGR=DPKG

Jeśli nie korzystasz z Debiana ani Ubuntu, zmień DPKGswój menedżer pakietów.

W ten sposób rkhunterbędzie wiedział , że można oczekiwać, że te pliki wykonywalne będą skryptami, a nie oznaczać fałszywego wyniku pozytywnego.

Zapewni to, że jeśli pliki zostaną zmienione, pojawi się nowy pozytywny wynik.

MacroMan
źródło
Świetny; ale dlaczego nie mogę ustawić go na „APT-GET”? ( istotne pytanie ) I czego używa domyślnie do sprawdzania skrótów, jeśli nie jest to DPKG dla Debiana? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter nie rozpoznaje apt jako menedżera pakietów. dpkg jest także poprawnym menedżerem pakietów we wszystkich systemach, które mają apt (chyba że zostały usunięte). Myślę, że domyślną wartością jest RPM
MacroMan
@MacroMan Domyślną wartością podaną na stronie podręcznika jestNONE
Adam Spiers
Komentarze w pliku rkhunter.conf: „# BRAK jest również domyślny dla Debiana, ponieważ uruchomienie --propupd zajmuje około 4 razy dłużej, gdy jest ustawione na DPKG”. Zobacz: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Wydaje się, że nie ma potrzeby ustawiania opcji PKGMGR
Nadir Latif
1

To samo, jeśli masz włączony dostęp do roota w SSH. Następnie powinieneś dodać

ALLOW_SSH_ROOT_USER=YES

do pliku /etc/rkhunter.conf.local

Antonio J. de Oliveira
źródło
0

Jak wspomniano na stronie : https://metacpan.org/pod/lwp-request , żądanie lwp to skrypt, który umożliwia wysyłanie żądań HTTP do serwerów sieciowych. Nie jest złośliwy, więc błąd można zignorować.

Aby wyeliminować błąd, należy zezwolić na użycie polecenia / usr / bin / lwp-request jako skryptu. Można to zrobić, dodając wiersz:

SCRIPTWHITELIST=/usr/bin/lwp-request

Do pliku /etc/rkhunter.conf lub /etc/rkhunter.conf.local . Zobacz opcję SCRIPTWHITELIST w pliku konfiguracyjnym rkhunter.conf

To rozwiązanie zostało wspomniane na forach Linux Mint

Nadir Latif
źródło
2
A jeśli ktoś zdoła zastąpić żądanie lwp złośliwym skryptem? Zachowaj szczególną ostrożność, korzystając z tej sugestii. Naraża cię na niebezpieczeństwo!
MacroMan