Вопрос или проблема
Итак, я только что установил и запустил rkhunter, который показывает мне зелёные ОК / Не найдено для всего, кроме: /usr/bin/lwp-request, вот так:
/usr/bin/lwp-request [ Предупреждение ]
В журнале говорится:
Предупреждение: Команда '/usr/bin/lwp-request' была заменена
скриптом: /usr/bin/lwp-request: текст исполняемого Perl скрипта
Я уже запустил rkhunter --propupd и sudo apt-get update && sudo apt-get upgrade, что не помогло. Я установил Debian 9.0 всего несколько дней назад и я новичок в Linux.
Есть ли какие-нибудь предложения, что делать?
Правка: Кроме того, chkrootkit выдает мне следующее:
Найдены следующие подозрительные файлы и директории:
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework
Думаю, это отдельный вопрос? Или это вообще не проблема? Я не знаю, как проверить, нужны ли эти файлы/директории.
Правка: Обратите внимание, что я также однажды получил предупреждения для “Проверки изменений в passwd файле” и “Проверки изменений в group файле”, хотя я, насколько я знаю, ничего из этого не менял. Более раннее и более позднее сканирование не показали предупреждений – они показались только один раз. Какие идеи?
rkhunter нужно знать, какой менеджер пакетов вы используете.
Создайте или отредактируйте /etc/rkhunter.conf.local и добавьте следующую строку:
PKGMGR=DPKG
Если вы не на Debian или Ubuntu, то замените DPKG на ваш настоящий менеджер пакетов.
Таким образом, rkhunter будет знать, что ожидает эти исполняемые файлы как скрипты, и не будет выдавать ложное срабатывание.
Это обеспечит, что если файлы будут подделаны, то появится новый положительный результат.
Как упомянуто на: https://metacpan.org/pod/lwp-request, lwp-request – это скрипт, который позволяет отправлять http-запросы к веб-серверам. Он не вредоносен, и поэтому ошибку можно игнорировать.
Чтобы подавить ошибку, вам нужно разрешить использовать команду /usr/bin/lwp-request в качестве скрипта. Это можно сделать, добавив строку:
SCRIPTWHITELIST=/usr/bin/lwp-request
В /etc/rkhunter.conf или /etc/rkhunter.conf.local. Смотрите опцию SCRIPTWHITELIST в конфигурационном файле rkhunter.conf
Это решение было упомянуто на форумах Linux Mint
Я просто хотел указать, что первый ответ может привести к бэкдору для атакующих, чтобы вставлять другие скрипты в вашу папку bin. Правильный ответ будет данным пользователем Nadir Latif и включит Perl-скрипт в ваш белый список.
Ответ или решение
Когда вы запускаете rkhunter и получаете предупреждение о файле /usr/bin/lwp-request, это может вызывать беспокойство, особенно если вы новичок в Linux и только что установили Debian 9. Давайте разберёмся с этой проблемой и предложим шаги, которые помогут вам правильно обработать данное предупреждение.
Понимание предупреждения
Сообщение Warning: The command '/usr/bin/lwp-request' has been replaced by a script указывает на то, что lwp-request является Perl-скриптом, а не обычным исполняемым файлом. Это поведение является нормальным для многих утилит, написанных на Perl, и не свидетельствует о наличии вредоносного ПО. lwp-request — это утилита для выполнения HTTP-запросов к веб-серверам и является частью библиотеки libwww-perl.
Решение проблемы
Чтобы подавить это предупреждение, вам необходимо скорректировать конфигурацию rkhunter, чтобы он распознавал этот файл как допустимый:
-
Создание или редактирование конфигурационного файла:
- Откройте терминал.
- Введите следующую команду, чтобы открыть файл конфигурации
rkhunterдля редактирования:sudo nano /etc/rkhunter.conf.local
-
Добавьте следующую строку:
SCRIPTWHITELIST=/usr/bin/lwp-requestЭта строка указывает
rkhunterигнорировать предупреждения, связанные сlwp-request. -
Сохраните и закройте файл:
- В редакторе nano для сохранения используйте
Ctrl + O, затемEnter, и для выхода из редактора —Ctrl + X.
- В редакторе nano для сохранения используйте
-
Обновите базу данных
rkhunter:- После внесения изменений выполните команду:
sudo rkhunter --propupd
- После внесения изменений выполните команду:
Дополнительные рекомендации
- Используйте пакетный менеджер:
Если вы не указали, какой пакетный менеджер используется, добавьте строку:PKGMGR=DPKGТакже в файл
/etc/rkhunter.conf.local, чтобыrkhunterзнал, что вы используете DPKG.
Что о других предупреждениях?
Вы также упомянули про предупреждения chkrootkit, касающиеся подозрительных файлов. Эти файлы могли появиться из-за установленных пакетов, например, Mono или Python. Для проверки их статуса выполните следующие действия:
-
Проверьте наличие установленных пакетов:
Используйте команды вроде:dpkg -l | grep mono dpkg -l | grep python -
Удалите ненужные пакеты:
Если вы не используете Mono или Python, и эти пакеты не нужны, рассмотрите возможность их удаления:sudo apt-get remove --purge <package-name> -
Проверяйте системные логи:
Регулярно проверяйте логи в/var/log/auth.logи системные журналы, чтобы убедиться в отсутствии подозрительных действий.
Заключение
Ваша первоначальная тревога по поводу предупреждения от rkhunter нормальна, особенно для новичков. Следуя приведённым выше шагам, вы сможете скорректировать настройки и подавить ложные предупреждения. Использование настойчивых методов мониторинга вашего окружения также поможет вам оставаться в курсе текущего состояния безопасности вашей системы. Если у вас появятся дополнительные вопросы, не стесняйтесь обращаться за поддержкой.