Einen Überblick über das Administrationstool KeyHelp der Keyweb AG und dessen Download gibt es auf https://www.keyhelp.de

Dieses Forum soll es interessierten Benutzern ermöglichen, sich über KeyHelp auszutauschen und Hilfe bei Problemen zu finden.

rkhunter vor/nach Installation von KH

Allgemeine Fragen zu KeyHelp
Antworten
Lou Zypher
Beiträge: 32
Registriert: Do 28. Feb 2019, 10:07

rkhunter vor/nach Installation von KH

Beitrag von Lou Zypher »

Moin alle zusammen,

eventuell eine blöde Frage oder ich muss noch etwas konfigurieren, bin aber gerade unschlüssig was eher passt.

Blanke Installation von Debian 10.6, rkhunter installiert und konfiguriert, läuft ohne Warnmeldungen durch.
Anschliessend KH installiert und nochmals rkhunter durchlaufen lassen und ich erhalte folgende Warnungen:

/usr/bin/egrep --> [ Warnung ]
/usr/bin/fgrep -->[ Warnung ]
/usr/bin/which -->[ Warnung ]

Ich vermute das ist nichts weltbewegendes, aber ich würd dennoch gern verstehen woher das kommt und was genau da bemängelt wird.
Benutzeravatar
OlliTheDarkness
Beiträge: 977
Registriert: Di 14. Aug 2018, 16:41
Wohnort: Essen (NRW)

Re: rkhunter vor/nach Installation von KH

Beitrag von OlliTheDarkness »

Lou Zypher hat geschrieben:
Sa 17. Okt 2020, 11:34
Moin alle zusammen,

eventuell eine blöde Frage oder ich muss noch etwas konfigurieren, bin aber gerade unschlüssig was eher passt.

Blanke Installation von Debian 10.6, rkhunter installiert und konfiguriert, läuft ohne Warnmeldungen durch.
Anschliessend KH installiert und nochmals rkhunter durchlaufen lassen und ich erhalte folgende Warnungen:

/usr/bin/egrep --> [ Warnung ]
/usr/bin/fgrep -->[ Warnung ]
/usr/bin/which -->[ Warnung ]

Ich vermute das ist nichts weltbewegendes, aber ich würd dennoch gern verstehen woher das kommt und was genau da bemängelt wird.
Ist jetzt keine "stichfeste" Beantwortung deiner Frage sondern eher eine Vermutung:
Da du es ja bereits vor der KH Install drauf und laufen lassen hast , wird es sich den IST Wert der MD5 Checksumme "gemerkt" (vorrausgesetzt sie waren dort schon install.) haben.

Möglich wäre das KH z.B im zuge der Installation , die Daten upgedatet hat.
Folglich stimmt die "gemerkte" MD5 mit der MD5 des erneuten Scans nicht mehr, weshalb er die "Warnt".

Details wirst denke ich den Logs entnehmen können.

:)
:arrow: Helden leben lange, Legenden sterben nie :idea:

:!: World Hack Organization :!:
Lou Zypher
Beiträge: 32
Registriert: Do 28. Feb 2019, 10:07

Re: rkhunter vor/nach Installation von KH

Beitrag von Lou Zypher »

Details wirst denke ich den Logs entnehmen können.
Macht durchaus Sinn :!:

In welchen Logs müsste ich schauen?
Ich hab schon einige durch aber fündig werde ich nicht, liegt aber wohl daran dass ich den genauen "Zeitpunkt" der Installation nihct mehr nachvollziehen kann.
Benutzeravatar
OlliTheDarkness
Beiträge: 977
Registriert: Di 14. Aug 2018, 16:41
Wohnort: Essen (NRW)

Re: rkhunter vor/nach Installation von KH

Beitrag von OlliTheDarkness »

Lou Zypher hat geschrieben:
So 18. Okt 2020, 18:06
Details wirst denke ich den Logs entnehmen können.
Macht durchaus Sinn :!:

In welchen Logs müsste ich schauen?
Ich hab schon einige durch aber fündig werde ich nicht, liegt aber wohl daran dass ich den genauen "Zeitpunkt" der Installation nihct mehr nachvollziehen kann.
Da wo Logfiles hingehören ;)

Code: Alles auswählen

/var/log/rkhunter.log
Habe grade auch mal nachgesehen und GENAU deine 3 genanten Kandidaten werden sogut wie immer gemeldet, weil sie durch Anwendungen auf dem Server regelmässig "ersetzt" werden.

Daher setz sie am besten auf die Whitelist wie folgt:

Datei /etc/rkhunter.conf

Code: Alles auswählen


SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
Dadurch werden sie nicht mehr gemeldet.

Aber bitte tue dir und vorallem jedem anderen Internetuser den gefallen, nutze die Whitelist mit bedacht und werf nicht alles drauf nur weils immer gemeldet wird (JA das hab ich schon erlebt) sondern frag im zweifel Google ob die gemeldete Anwenung nicht vieleicht doch zurecht positiv gemeldet wurde.

Gruß olli
:arrow: Helden leben lange, Legenden sterben nie :idea:

:!: World Hack Organization :!:
Lou Zypher
Beiträge: 32
Registriert: Do 28. Feb 2019, 10:07

Re: rkhunter vor/nach Installation von KH

Beitrag von Lou Zypher »

Da wo Logfiles hingehören ;)

Code: Alles auswählen

/var/log/rkhunter.log
Da hab ich natürlich als erstes gesucht, steht aber nichts aussagekräftiges drin, da steht das was beim durchlaufen von rkhunter auch auf dem Bildschirm ausgegeben wird ,-)
Aber bitte tue dir und vorallem jedem anderen Internetuser den gefallen, nutze die Whitelist mit bedacht und werf nicht alles drauf nur weils immer gemeldet wird (JA das hab ich schon erlebt) sondern frag im zweifel Google ob die gemeldete Anwenung nicht vieleicht doch zurecht positiv gemeldet wurde.
Ich hab zwar nicht den kompletten Durchblick, aber zumindest das würde ich nicht machen!
Alles, was mir kein Begriff ist oder ich nicht zuordnen kann, wird grundsätzlich erst gegoogelt bzw. in div. Foren nachgeschaut.

Aber dennoch, danke für die Hilfe (Y)
Antworten