Auffälligkeiten in rkhunter

  • Frage

  • miandres
  • 2013 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Auffälligkeiten in rkhunter

    Moin,

    sollte ich mir darum Gedanken machen?

    (Auschnitt aus # rkhunter -c)


    [22:22:45] Information: Beginne mit dem Test 'filesystem'
    [22:22:45] Führe Dateisystem-Tests aus
    [22:22:45] Information: SCAN_MODE_DEV gesetzt auf 'THOROUGH'
    [22:22:47] Überprüfe /dev auf verdächtige Dateien [ Warnung ]
    [22:22:47] Warnung: Verdächtige Dateitypen in /dev gefunden:
    [22:22:47] /dev/shm/pulse-shm-3565107047: data
    [22:22:47] /dev/shm/pulse-shm-3404149479: data
    [22:22:47] /dev/shm/pulse-shm-1075956660: data
    [22:22:47] /dev/shm/pulse-shm-1803662042: data
    [22:22:47] Überprüfe auf versteckte Dateien und Verzeichnisse [ Warnung ]
    [22:22:47] Warnung: Verstecktes Verzeichnis gefunden: /etc/.java




    Mein Soundsystem mag mich eh nicht wirklich. Mochte mich aber unter OpenSuSE auch schon nicht.
    Chipsatz: VIA VT1705 - Board: N68C-GS FX
    Somit mache ich mir bei den Einträgen von Pulse nicht allzuviele Gedanken.
    Alle 4 Dateien haben 64MB und sind heute im Laufe des Tages erstellt und verändert worden.

    Bei .java schaut das so aus:
    /etc/.java/.systemPrefs/.system.lock
    /etc/.java/.systemPrefs/.systemRootModFile
    Beides Files sind leer.
    Erstellt und verändert wurden sie nach Aufruf von Iceweasel bis jetzt.

    Ansonsten war rkhunter vollkommen unauffällig.
    Da ich hier im Board speziell heute einige Probleme hatte, möchte ich (trotz sauberer Neuinstallation meines Systems) "sicher" sein, dass das Problem nicht von mir ausgelöst wurde.
    Was kann ich noch tun um mein System zu prüfen?
    Ich habe ansonsten keinerlei Fehler/Probleme auf meinem Rechner und bei entfernten Webseiten festgestellt. Dennoch "könnte" sich irgendwo in den Terrabytes etwas verstecken.

    Beste Grüße und Danke fürs Kopfmachen.

  • mal schauen, ob ich etwas Licht ins Dunkel bringen kann:
    1. normalerweise werden in /etc keine versteckten Verzeichnisse angelegt. Eine mir bekannte Ausnahme gibt es dafür: Sun-Java legt dieses .java Verzeichnis in /etc an. Da du ja auch Java bei dir nutzt, sollte das ganz normal sein.
    2. in /dev/shm werden an jedem Tag neue Strukturen in der Form /dev/shm/pulse-shm-1234567890 vom PulseAudio System angelegt. Das ist auch ein normales Verhalten.
    3. Ein nachweislich unverändertes System hast du nur bei der Erstinstallation von Originalquellen. Nach der Erstlnstallation ist es ganz wichtig, dass du für das tägliche Arbeiten nur einen einfachen Useraccount benutzt. Je weniger Berechtigungen, um so besser. Warum? Potentielle Angreifer nutzen i.d.R. maximal die Berechtigungen des angemeldeten Benutzers, der den Schädling eingeschleppt hat. Mit Root-Berechtigungen im Internet zu Surfen oder andere, als Systemverwaltungsarbeiten vorzunehmen ist sträflich.
    4. Ich hatte mal ein Hochsicherheitssystem konstruiert, welches ausschließlich im Speicher des Servers ohne Festplatten lief. Logs wurden seriell auf einen entfernten Rechner geschrieben, auf dem ein Dämon die Logs dauerhaft nach Aufflälligkeiten überprüfte. Somit waren die meisten Manipulationen sehr schnell nachvollziehbar.
    Insgesamt kann ich sagen, wenn du Punkt 3 befolgst und die Logs regelmäßig nach Auffälligkeiten duchsuchst, machst du schon mehr, als 70% der normalen Unix Nutzer.

    viel Erfolg
    /Bogomir
    IRC war gestern, ... heute haben wir den Chat

    realize your tasks, then take a deep breath and go for it!

  • Vielen Dank @Bogomir (und ein gutes neues Jahr für Dich),

    ich arbeite selbst in Windows nur als eingeschränkter User.
    Admin/root wird nur für Updates/neue von mir ausgewählte Software benutzt und bleibt bei mir auch nicht in einer Konsole nach dem Vorgang geöffnet.

    Die Logs habe ich in der letzten Zeit vernachlässigt (allerdings läuft mein Debian auch ohne Auffälligkeiten).
    Aber Du hast recht ... das sollte man nicht so schluren lassen.

    Vielen Dank.