Frage zu RKHunter

Don R. Wetter · Post by **Don R. Wetter** » Sat 5. Apr 2025, 13:11

Servus zusammen,

ich hab heute mal mit RKHunter einen Scan gemacht.

Nun steht am Ende in /dev wären verdächtige Dateien, ebenso wären generell versteckte Dateien und Verzeichnisse vorhanden.
Ich hab ehrlich gesagt nur absolut keine Ahnung welche verdächtig und/oder versteckt wären

Kann mir da jemand auf die Sprünge helfen?

Alternativfrage: lohnt sich RKHunter überhaupt? Wie zuverlässig ist das? Muss bzw. sollte man das nutzen wenn Keyhelp doch einen eigenen Schutz bietet?

Keine Panik, das ist quasi nur für mich ein Testsystem, das regelmässig neu aufgesetzt wird und dient mir dazu das ich mich selbst mit der Materie Debian und Keyhelp selbst mal besser auskenne. Das ist kein Produktivsystem!

Besten Dank!

24unix · Post by **24unix** » Sat 5. Apr 2025, 13:22

Don R. Wetter wrote: ↑Sat 5. Apr 2025, 13:11 Ich hab ehrlich gesagt nur absolut keine Ahnung welche verdächtig und/oder versteckt wären

Du könntest ja einfach posten, welche Dir als verdächtig angezeigt werden.

So ohne Glaskugel ist das schwer.

Don R. Wetter · Post by **Don R. Wetter** » Sat 5. Apr 2025, 16:30

Das ist es ja, es wird zwar angezeigt dass da was sein soll, aber nicht genau was.

Siehe Screenshot, das wird mir beim Durchlauf angezeit, im Log steht auch nichts anderes.

24unix · Post by **24unix** » Sat 5. Apr 2025, 17:07

Was sagt:

Code: Select all

rkhunter --check --skip-keypress --enable all --propupd --display-logfile

Don R. Wetter · Post by **Don R. Wetter** » Sat 5. Apr 2025, 18:29

Ah okay, das scheint aussagekräftiger zu sein:

Code: Select all

Checking /dev for suspicious file types         [ Warning ]
[18:25:29] Warning: Suspicious file types found in /dev:
[18:25:29]          /dev/shm/rhm.8780d63e9a9ecf2621fa: None
[18:25:30]          /dev/shm/rhm.55e1df47011899c9c511: None
[18:25:30]          /dev/shm/rhm.08bcf403e21c418310a4: None
[18:25:30]          /dev/shm/rhm.18ba9d799a8f97ab8d22: None
[18:25:30]          /dev/shm/rhm.1f36da8cd2cd3ab9e5d3: None
[18:25:30]          /dev/shm/rhm.f009d0b1fc8b1e2f36d8: None
[18:25:30]          /dev/shm/rhm.e7bfba21bed4fc484778: None
[18:25:30]          /dev/shm/rhm.1b66352e0f66eecf3ced: None
[18:25:30]          /dev/shm/rhm.50972140497ae3af9d2b: None
[18:25:30]          /dev/shm/ShM.c5fa4b64H8dd08c52: data
[18:25:30]   Checking for hidden files and directories       [ Warning ]
[18:25:30] Warning: Hidden file found: /etc/.resolv.conf.systemd-resolved.bak: ASCII text

Was nedeuten diese rkhunter ausgaben?
Nebenbei für mich zum Verständnis:
--check --skip-keypress ist klar, einmal dass rkhunter startet, das andere um den Tastendruck zu umgehen.

Was macht --enable all --propupd --display-logfile?

--display-logfile ist um die einzelnen Schritte zu "dokumentieren" die ich oben gepostet habe?

Da ich ja bei der Installation von SW6 immer die Meldung vom hauseigenen Virenscanner erhalten habe dass in den Dateien, die SW6 selber lädt, ein Virus/Rootkit gefunden wurde, wäre es möglich dass das eventuell ebenfalls von SW6 stammt?
Ich habe durchaus auf dem Server SW6 mehrfach installiert und wieder entfernt.

[Mod-Edit]
CODE-Tags eingefügt.
Konsolenausgaben, Inhalte von Konfigurationsdateien, Auszüge aus Logfiles o.ä. bitte zukünftig immer mit CODE-Tags versehen!

24unix · Post by **24unix** » Sat 5. Apr 2025, 18:55

Don R. Wetter wrote: ↑Sat 5. Apr 2025, 18:29 [18:25:30] Warning: Hidden file found: /etc/.resolv.conf.systemd-resolved.bak: ASCII text[/i]

Don R. Wetter wrote: ↑Sat 5. Apr 2025, 18:29
Nebenbei für mich zum Verständnis:
--check --skip-keypress ist klar, einmal dass rkhunter startet, das andere um den Tastendruck zu umgehen.

Was macht --enable all --propupd --display-logfile?

--display-logfile ist um die einzelnen Schritte zu "dokumentieren" die ich oben gepostet habe?

Da ich ja bei der Installation von SW6 immer die Meldung vom hauseigenen Virenscanner erhalten habe dass in den Dateien, die SW6 selber lädt, ein Virus/Rootkit gefunden wurde, wäre es möglich dass das eventuell ebenfalls von SW6 stammt?
Ich habe durchaus auf dem Server SW6 mehrfach installiert und wieder entfernt.

Was ist SW6? ShopWare?

• --enable all: ensures all tests are run (you can omit this if you already have all tests enabled)
• --propupd: updates the file properties database (only do this if you’re sure the system is clean)
• --display-logfile: shows the path to the log file at the end

Don R. Wetter · Post by **Don R. Wetter** » Sat 5. Apr 2025, 20:32

Richtig, Shopware.

Ich hatte ja schon einmal gepostet dass ich mit der Software massiv Probleme habe.

viewtopic.php?p=53345#p53345

Post by **Jolinar** » Sat 5. Apr 2025, 20:37

Don R. Wetter wrote: ↑Sat 5. Apr 2025, 18:29

Code: Select all

Checking /dev for suspicious file types         [ Warning ]
[18:25:29] Warning: Suspicious file types found in /dev:
[18:25:29]          /dev/shm/rhm.8780d63e9a9ecf2621fa: None
[18:25:30]          /dev/shm/rhm.55e1df47011899c9c511: None
[18:25:30]          /dev/shm/rhm.08bcf403e21c418310a4: None
[18:25:30]          /dev/shm/rhm.18ba9d799a8f97ab8d22: None
[18:25:30]          /dev/shm/rhm.1f36da8cd2cd3ab9e5d3: None
[18:25:30]          /dev/shm/rhm.f009d0b1fc8b1e2f36d8: None
[18:25:30]          /dev/shm/rhm.e7bfba21bed4fc484778: None
[18:25:30]          /dev/shm/rhm.1b66352e0f66eecf3ced: None
[18:25:30]          /dev/shm/rhm.50972140497ae3af9d2b: None
[18:25:30]          /dev/shm/ShM.c5fa4b64H8dd08c52: data
[18:25:30]   Checking for hidden files and directories       [ Warning ]
[18:25:30] Warning: Hidden file found: /etc/.resolv.conf.systemd-resolved.bak: ASCII text

rkhunter verwendet selbst /dev/shm für seine eigenen temporären Dateien. Es ist sehr wahrscheinlich, daß die "rhm.*" und "shm.*" Dateien von rkhunter selber stammen.
Prüf mal, ob diese Dateien nach einem Neustart des Systems verschwinden. Wenn ja, sind sie harmlos. Wenn sie bestehen bleiben, ist eine genauere Untersuchung erforderlich.
Die Datei /etc/.resolv.conf.systemd-resolved.bak ist wahrscheinlich eine Sicherungskopie, die von systemd-resolved erstellt wurde. Sollte unbedenklich sein, kannst ja mal reinschauen in die Datei.

Don R. Wetter · Post by **Don R. Wetter** » Sun 6. Apr 2025, 08:59

Ah okay, Neustart gerade mal angestossen und danach war /dev nur noch mit einer Datei belegt.
Also sollte das nicht beachtenswert sein.

Die Datei /etc/.resolv.conf.systemd-resolved.bak hat als Inhalt lediglich "nameserver 10.0.2.3".

24unix · Post by **24unix** » Sun 6. Apr 2025, 09:51

Don R. Wetter wrote: ↑Sun 6. Apr 2025, 08:59 Ah okay, Neustart gerade mal angestossen und danach war /dev nur noch mit einer Datei belegt.
Also sollte das nicht beachtenswert sein.

Die Datei /etc/.resolv.conf.systemd-resolved.bak hat als Inhalt lediglich "nameserver 10.0.2.3".

OK, dann ist es wirklich nur das, wonach es aussieht.

Vor systemd-resolved war /etc/resolv.conf eine simple ASCII Datei, die wurde bei einen Upgrade dann wohl gesichert, und durch den Symlink auf /run/systemd/resolve/stub-resolv.conf ersetzt.

Das man sie sichert, ok, aber warum mit einem verstecktem Namen? Sei es drum, nicht gefährlich.

Don R. Wetter · Post by **Don R. Wetter** » Sun 6. Apr 2025, 11:46

Prima, dann vielen Dank für die aufschlusseichen Antworten, kleine Schritte werden auch mal zu großen

Frage zu RKHunter

Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter

Re: Frage zu RKHunter