Saya mencari beberapa di Google dan memeriksa dua tautan pertama yang ditemukannya:
- http://www.skullbox.net/rkhunter.php
- http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/
Mereka tidak menyebutkan apa yang harus saya lakukan jika ada peringatan seperti itu:
Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
File: /usr/bin/lynx
Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4
T1: Apakah ada HowTos lebih luas yang menjelaskan bagaimana menangani berbagai jenis peringatan?
Dan pertanyaan kedua. Apakah tindakan saya memadai untuk menyelesaikan peringatan ini?
a) Untuk menemukan paket yang berisi file yang mencurigakan, mis. itu adalah debianutils untuk file / bin / yang
~ > dpkg -S /bin/which
debianutils: /bin/which
b) Untuk memeriksa checksum paket debianutils:
~ > debsums debianutils
/bin/run-parts OK
/bin/tempfile OK
/bin/which OK
/sbin/installkernel OK
/usr/bin/savelog OK
/usr/sbin/add-shell OK
/usr/sbin/remove-shell OK
/usr/share/man/man1/which.1.gz OK
/usr/share/man/man1/tempfile.1.gz OK
/usr/share/man/man8/savelog.8.gz OK
/usr/share/man/man8/add-shell.8.gz OK
/usr/share/man/man8/remove-shell.8.gz OK
/usr/share/man/man8/run-parts.8.gz OK
/usr/share/man/man8/installkernel.8.gz OK
/usr/share/man/fr/man1/which.1.gz OK
/usr/share/man/fr/man1/tempfile.1.gz OK
/usr/share/man/fr/man8/remove-shell.8.gz OK
/usr/share/man/fr/man8/run-parts.8.gz OK
/usr/share/man/fr/man8/savelog.8.gz OK
/usr/share/man/fr/man8/add-shell.8.gz OK
/usr/share/man/fr/man8/installkernel.8.gz OK
/usr/share/doc/debianutils/copyright OK
/usr/share/doc/debianutils/changelog.gz OK
/usr/share/doc/debianutils/README.shells.gz OK
/usr/share/debianutils/shells OK
c) Untuk bersantai /bin/which
seperti yang saya lihat OK
/bin/which OK
d) Untuk menempatkan file /bin/which
untuk /etc/rkhunter.conf
sebagaiSCRIPTWHITELIST="/bin/which"
e) Untuk peringatan untuk file yang /usr/bin/lynx
saya perbarui dengan checksumrkhunter --propupd /usr/bin/lynx.cur
T2: Apakah saya menyelesaikan peringatan seperti itu dengan benar?
In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.