主页 / ubuntu / 问题

问题[rkhunter](ubuntu)

Martin Hope
JUbunt2
Asked: 2020-08-19 09:35:10 +0800 CST
  • 0

我应该担心这个警告吗?

Warning: Suspicious file types found in /dev:
[18:17:04]  /dev/shm/ecryptfs-user-Private: ASCII text

我删除了文件,但是当我重新启动它时,它被重新创建了。这是正常的,还是我的系统受到了损害?如果是这样,我该如何解决这个问题?

rkhunter
Martin Hope
The Naughty Otter
Asked: 2016-08-09 05:26:54 +0800 CST
  • 0

带有 rkhunter 的全新 Ubuntu 14.04 服务器警告系统上存在多个文件,但 rkhunter.dat 中不存在

例如:/use/bin/awk、/usr/bin/curl 甚至 /usr/bin/rkhunter!(还有更多)

系统处于离线状态,因此很可能是误报。这些警告来自每日的 cronjob,并且是最出乎意料的,因为我在几个小时前运行了 --propupd 并且检查没有问题。

同时,我还看到“系统上不存在文件'0'但存在于 rkhunter.dat 中的警告”

我在 sourceforge 邮件列表 ( https://sourceforge.net/p/rkhunter/mailman/message/28114396/ ) 上发现了一个旧帖子,表明这可能是由于多次安装或 crontab 中的 PATH 问题(因此在通过 cron 和交互式运行),甚至提出了一些 sudo 解决方案。

有没有人发现相同的问题和解决方案?我还无法确认解决方案,因此其他人的经验会有所帮助。

rkhunter
Martin Hope
user364819
Asked: 2015-04-04 12:55:36 +0800 CST
  • 1

我注意到在扫描我的机器时:

sudo rkhunter --checkall --sk

日志文件中的那部分输出是:

[21:50:51]   Checking for missing log files                  [ Skipped ]
[21:50:51]   Checking for empty log files                    [ Skipped ]
[21:50:51]
[21:50:51] Info: Test 'apps' disabled at users request.

为什么跳过其中一些测试?我怎么才能不跳过它们呢?还有它是什么意思Test 'apps' disabled at users request,因为我没有要求它不要测试任何东西?

操作系统信息:

Description:    Ubuntu 14.10
Release:    14.10

包装信息:

rkhunter:
  Installed: 1.4.0-3
  Candidate: 1.4.0-3
  Version table:
 *** 1.4.0-3 0
        500 http://gb.archive.ubuntu.com/ubuntu/ utopic/universe amd64 Packages
        100 /var/lib/dpkg/status
rkhunter
Martin Hope
user250155
Asked: 2014-09-06 19:29:46 +0800 CST
  • 1

我应该担心 rkhunter 的这些扫描结果吗?

[22:09:40] Info: Starting test name 'passwd_changes'
[22:09:40]   Checking for passwd file changes                [ Warning ]
[22:09:40] Warning: User 'usermetrics' has been added to the passwd file.
[22:09:40] Warning: User 'clickpkg' has been added to the passwd file.
[22:09:40]
[22:09:40] Info: Starting test name 'group_changes'
[22:09:40]   Checking for group file changes                 [ Warning ]
[22:09:40] Warning: Group 'usermetrics' has been added to the group file.
[22:09:40] Warning: Group 'clickpkg' has been added to the group file.
[22:09:40]   Checking root account shell history files       [ None found ]

正如 rkhunter 报告的那样,我在 /etc/passwd 文件的末尾看到了 usermetrics 行和 clickpkg 行。

rkhunter
Martin Hope
Stefan Lasiewski
Asked: 2010-08-07 20:12:09 +0800 CST
  • 31

我正在运行 Ubuntu 10.04.1 LTS。我正在运行rkhunter来检查 rootkit。

rkhunter 抱怨以下隐藏文件和目录。我认为这些文件在我的系统上不是真正的问题,但我如何检查这些文件是否是合法文件?

[07:57:45]   Checking for hidden files and directories       [ Warning ]
[07:57:45] Warning: Hidden directory found: /etc/.java
[07:57:45] Warning: Hidden directory found: /dev/.udev
[07:57:45] Warning: Hidden directory found: /dev/.initramfs

更新

原来这些目录在 /etc/rkhunter.conf 中特别提到,这表明这是一个常见的 rkhunter 问题。从 rkhunter.conf :

#
# Allow the specified hidden directories.
# One directory per line (use multiple ALLOWHIDDENDIR lines).
#
#ALLOWHIDDENDIR=/etc/.java
#ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
#ALLOWHIDDENDIR=/dev/.static
#ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
#ALLOWHIDDENDIR=/dev/.mdadm
10.04 security rkhunter