rkhunter i warning'i

Question

Witam.

Mam pewne obawy o bezpieczeństwo mojego Linuxa Mint 19. Odpaliłem w terminalu: rkhunter --check i wyskoczyło mi kilka warning'ów na czerwono. Oto one:

Checking system commands...
/usr/bin/curl                                    [ Warning ]
/usr/bin/perl                                    [ Warning ]
/usr/bin/lwp-request                             [ Warning ]
/sbin/init                                       [ Warning ]
/sbin/runlevel                                   [ Warning ]
/bin/systemd                                     [ Warning ]
/bin/systemctl                                   [ Warning ]
/lib/systemd/systemd                             [ Warning ]

Checking for rootkits...
Checking for suspicious (large) shared memory segments   [ Warning ]

Checking the local host...
Checking for passwd file changes                         [ Warning ]
Checking for group file changes                          [ Warning ]
Checking for hidden files and directories                [ Warning ]

Bardzo proszę doświadczonych linuksiarzy o pomoc i wyjaśnienie co to może znaczyć i czy jest się czym martwić. A jeżeli jest problem to jak mu zaradzić, ewentualnie jakie inne skany i testy mogę jeszcze wykonać?

Dodam tylko, że cała reszta skanu wyszła ok. Żadnych rootkitów nie znaleziono i wszystko inne oprócz tego co podałem w kodzie ma status "Not found", "None found" lub "Ok".

Pozdrawiam i z góry dzięki.

Answer 1

RKhunter czasami się wali. Polecam pobrać "Lynis"

Comments

PS: Dodawałeś użytkowników/grupe, albo zmienialeś hasła?

---

Nie, nic z tych rzeczy nie robiłem. Zaktualizowałem rkhunter'a i zeskanowałem ponownie. Mam zawsze dwa warningi i 4 możliwe rootkity:

Checking for suspicious (large) shared memory segments   [ Warning ]
Checking for hidden files and directories                [ Warning ]
File properties checks...
    Files checked: 149
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 480
    Possible rootkits: 4

Applications checks...
    All checks skipped

Po użyciu chkrootkit wyszło że wszystko niby ok ale: tcpd INFECTED. Czytałem na: askubuntu.com i ubuntuforums.org i pisali, że to fałszywy alarm. Ale jedno mi nie daje spokoju. Ktoś napisał, że jak sprawdzę sumę kontrolną: 

sudo sha1sum /usr/sbin/tcpd

to powinno wyjść:

cd9cfc19df7f0e4b7f9adfa4fe8c5d74caa53d86  /usr/sbin/tcpd

a mi wychodzi:

9ee346a9400f52e16576db35c310a72af391e199  /usr/sbin/tcpd

Sam już nie wiem co myśleć. Jest zainfekowany czy nie? Ta suma kontrolna jest ok, czy nie powinna taka wyjść? No i dlaczego Ciągle są niby 4 możliwe rootkity? Mam na nowo instalować system, czy nie? Tyle konfiguracji i instalacji różnych IDE i wszystko mi ładnie śmiga i miałoby na marne pójść? Aż łzy w oczach :\ Będę wdzięczny za wszelką pomoc i podpowiedzi.
 

---

Poszukaj tego: Linux.xor.ddos i daj znać czy znalazło. chkrootkit ma duuuzo bugów.

locate  Linux.xor.ddos

 

---

Nie znalazło. A co z tą sumą kontrolną?

/usr/sbin/tcpd

Może jak ktoś ma Minta 19 mate, to by u siebie odpalił 

sudo sha1sum /usr/sbin/tcpd

i sprawdził jaka mu wyjdzie? Jeżeli taka sama jak u mnie to może ten plik w tej dystrybucji po prostu taki jest.

---

Masz w systemie wazne pliki? Jeżeli tak to zgraj je na np. USB i reinstalluj system.

---

Możesz przed tym jeszcze spróbować usunąć tcpd i zainstalować od nowa.

---

Myślisz, że jednak jest zainfekowany?

---

Jak instalowałeś niewiadomo jaki syf to możliwe, jednak jest to mało prawdopodobne, myślę, że to fałszywy alarm.

---

Dzięki za wszystkie odpowiedzi. A jeszcze jedna sprawa. Czy podłączanie telefonu do komputera i grzebanie w jego pamięci może spowodować zainfekowanie? Jakoś Android nie wydaje mi się zbyt bezpiecznym systemem i jakbym w telefonie miała rootkita albo trojana to by mnie to szczególnie nie zdziwiło. A jakiś czas temu, kilka razy przeglądałem telefon na komputerze i kopiowałem do niego pliki. Można jakoś przeskanować Androida i pamięć telefonu?