rkhunter vor/nach Installation von KH

Locked
Lou Zypher
Posts: 64
Joined: Thu 28. Feb 2019, 10:07

rkhunter vor/nach Installation von KH

Post by Lou Zypher »

Moin alle zusammen,

eventuell eine blöde Frage oder ich muss noch etwas konfigurieren, bin aber gerade unschlüssig was eher passt.

Blanke Installation von Debian 10.6, rkhunter installiert und konfiguriert, läuft ohne Warnmeldungen durch.
Anschliessend KH installiert und nochmals rkhunter durchlaufen lassen und ich erhalte folgende Warnungen:

/usr/bin/egrep --> [ Warnung ]
/usr/bin/fgrep -->[ Warnung ]
/usr/bin/which -->[ Warnung ]

Ich vermute das ist nichts weltbewegendes, aber ich würd dennoch gern verstehen woher das kommt und was genau da bemängelt wird.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: rkhunter vor/nach Installation von KH

Post by OlliTheDarkness »

Lou Zypher wrote: Sat 17. Oct 2020, 11:34 Moin alle zusammen,

eventuell eine blöde Frage oder ich muss noch etwas konfigurieren, bin aber gerade unschlüssig was eher passt.

Blanke Installation von Debian 10.6, rkhunter installiert und konfiguriert, läuft ohne Warnmeldungen durch.
Anschliessend KH installiert und nochmals rkhunter durchlaufen lassen und ich erhalte folgende Warnungen:

/usr/bin/egrep --> [ Warnung ]
/usr/bin/fgrep -->[ Warnung ]
/usr/bin/which -->[ Warnung ]

Ich vermute das ist nichts weltbewegendes, aber ich würd dennoch gern verstehen woher das kommt und was genau da bemängelt wird.
Ist jetzt keine "stichfeste" Beantwortung deiner Frage sondern eher eine Vermutung:
Da du es ja bereits vor der KH Install drauf und laufen lassen hast , wird es sich den IST Wert der MD5 Checksumme "gemerkt" (vorrausgesetzt sie waren dort schon install.) haben.

Möglich wäre das KH z.B im zuge der Installation , die Daten upgedatet hat.
Folglich stimmt die "gemerkte" MD5 mit der MD5 des erneuten Scans nicht mehr, weshalb er die "Warnt".

Details wirst denke ich den Logs entnehmen können.

:)
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
Lou Zypher
Posts: 64
Joined: Thu 28. Feb 2019, 10:07

Re: rkhunter vor/nach Installation von KH

Post by Lou Zypher »

Details wirst denke ich den Logs entnehmen können.
Macht durchaus Sinn :!:

In welchen Logs müsste ich schauen?
Ich hab schon einige durch aber fündig werde ich nicht, liegt aber wohl daran dass ich den genauen "Zeitpunkt" der Installation nihct mehr nachvollziehen kann.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: rkhunter vor/nach Installation von KH

Post by OlliTheDarkness »

Lou Zypher wrote: Sun 18. Oct 2020, 18:06
Details wirst denke ich den Logs entnehmen können.
Macht durchaus Sinn :!:

In welchen Logs müsste ich schauen?
Ich hab schon einige durch aber fündig werde ich nicht, liegt aber wohl daran dass ich den genauen "Zeitpunkt" der Installation nihct mehr nachvollziehen kann.
Da wo Logfiles hingehören ;)

Code: Select all

/var/log/rkhunter.log
Habe grade auch mal nachgesehen und GENAU deine 3 genanten Kandidaten werden sogut wie immer gemeldet, weil sie durch Anwendungen auf dem Server regelmässig "ersetzt" werden.

Daher setz sie am besten auf die Whitelist wie folgt:

Datei /etc/rkhunter.conf

Code: Select all


SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
Dadurch werden sie nicht mehr gemeldet.

Aber bitte tue dir und vorallem jedem anderen Internetuser den gefallen, nutze die Whitelist mit bedacht und werf nicht alles drauf nur weils immer gemeldet wird (JA das hab ich schon erlebt) sondern frag im zweifel Google ob die gemeldete Anwenung nicht vieleicht doch zurecht positiv gemeldet wurde.

Gruß olli
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
Lou Zypher
Posts: 64
Joined: Thu 28. Feb 2019, 10:07

Re: rkhunter vor/nach Installation von KH

Post by Lou Zypher »

Da wo Logfiles hingehören ;)

Code: Select all

/var/log/rkhunter.log
Da hab ich natürlich als erstes gesucht, steht aber nichts aussagekräftiges drin, da steht das was beim durchlaufen von rkhunter auch auf dem Bildschirm ausgegeben wird ,-)
Aber bitte tue dir und vorallem jedem anderen Internetuser den gefallen, nutze die Whitelist mit bedacht und werf nicht alles drauf nur weils immer gemeldet wird (JA das hab ich schon erlebt) sondern frag im zweifel Google ob die gemeldete Anwenung nicht vieleicht doch zurecht positiv gemeldet wurde.
Ich hab zwar nicht den kompletten Durchblick, aber zumindest das würde ich nicht machen!
Alles, was mir kein Begriff ist oder ich nicht zuordnen kann, wird grundsätzlich erst gegoogelt bzw. in div. Foren nachgeschaut.

Aber dennoch, danke für die Hilfe (Y)
Locked