Не понимаю что делать. Rkhunter, одни варненги.

[kiev]

ну кто нибудь может показать наконец вирус под современный линукс? хотя бы ссылку, а то все рассуждают что быть может или может быть, а показать никто не может!

антивирусы нужны только в винде

rkhunter может писать Warning если права к файлу вдруг содержат suid бит или файл не содержится в его базе или еще что то - в любом случае /var/log/rkhunter.log расскажет все подробно

[Denzzzo]

Да тут речь не о вирусах вроде

ЗЫ. Кстати, если найдешь вирус - кинь мне, позабавляюсь маленько:)

[Tokh]

ну кто нибудь может показать наконец вирус под современный линукс? хотя бы ссылку, а то все рассуждают что быть может или может быть, а показать никто не может!

антивирусы нужны только в винде

Всё зависит от интереса и направлений векторов тяги.
http://www.opennet.ru/opennews/art.shtml?num=17217

[Tokh]

История комманд консоли в:
~/.bash_history
Но атрибуты и т.п. могут поменять другие программы.

А зачем? 
А как это всё отслеживать? Может быть утилку посоветуете?

В рамках того, что сам пользователь делает. Мало ли кто зачем использует компьютер и как там другие программы себя ведут... Хотябы.

Пока по Линухом сильно не парюсь, не отслеживаю. "Всётки" и правда не промултимедиященная Пенда, не так всё плохо. Нет фактической вирусной угрозы для рабочей станции.

Есть методы отслеживания. Есть Руткит Хантер, был и есть проприетарный Адинф. Они снимают отпечатки с системы и потом отпечатки проверяют на соответствие друг другу, проверяют на соответствие известным эталонам.
А вот эталоны эти в разных дистрибутивах могут отличаться. Потому в начале придётся дорабатывать защиту, разбираясь на что она не должна реагировать. Или использовать чего-то доработанное поставщиком дистра. РкХантер, насколько помню маны, имеет довольно много настроек.

Есть ещё SELinux (вроде он запланирован как часть Ubuntu, но не пробовал найти его : ), есть LIDS. Есть Snort для мониторинга сетевых атак. Программы эти достаточно сложны в настройке, но "не боги горшки обжигают"...

Вот на этом сайте можно немало найти:
http://www.opennet.ru/base/sec/index.html
В т.ч. м.б. в других разделах библиотеки.

[Vir0id]

Интересный линк. Спасибо u-375 

[mithrusc]

На днях после смены пароля пользователя rkhunter выдал ворненги на все что связано с работой с пользователями и группами, если на unhide я всегда забивал, то это мне не понятно совсем. первые строчки особенно интересны

/bin/login [ Warning ]
/bin/su [ Warning ]
/usr/bin/lastlog  [ Warning ]
/usr/bin/newgrp  [ Warning ]
    /usr/bin/passwd  [ Warning ]
/usr/sbin/groupadd   [ Warning ]
    /usr/sbin/groupdel   [ Warning ]
    /usr/sbin/groupmod  [ Warning ]
    /usr/sbin/grpck  [ Warning ]
    /usr/sbin/nologin  [ Warning ]
    /usr/sbin/pwck [ Warning ]
    /usr/sbin/unhide    [ Warning ] как всегда вообщем то
    /usr/sbin/useradd  [ Warning ]
    /usr/sbin/userdel  [ Warning ]
    /usr/sbin/usermod  [ Warning ]
    /usr/sbin/vipw [ Warning ]
    /usr/sbin/unhide-linux26  [ Warning ] как и эта строка

руткитов 0, зараженных файлов 17

и как совпадение clamtk нашел в кеше (.mozilla/firefox/fwbnfpaq) firefox'а какую то гадость под названием PUA.Script.Packed-2, никакого описания я к ней не нашел,
я так понимаю rkhunter сравнивает содержимое некоторых конфигов и исполняемых файлов со своей базой и если что то не так выдает ворнинг, и все же как мне реагировать на такие вот срабатывания и что предпринимать?
если кто-то обьяснит что это такое буду очень признателен.

[Vir0id]

А покажи лог /var/log/rkhunter.log что там пишут?

[mithrusc]

с того момента систему переустановил,
/var/log/rkhunter.log

руткитов 0, зараженных файлов 17, зараженных приложений 0

больше никаких подробностей то и не было.

[mithrusc]

с недавних пор

/usr/bin/ldd                                             [ Warning ]

System checks summary
=====================

File properties checks...
    Files checked: 127
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 0

Applications checks...
    Applications checked: 4
    Suspect applications: 0

в файле записаны какие то наборы правил и ответов на команды...
начинается так

This is the `ldd' command, which lists what shared libraries are
# used by given dynamically-linked executables.  It works by invoking the
# run-time dynamic linker as a command and setting the environment
# variable LD_TRACE_LOADED_OBJECTS to a non-empty value.

судя по дате редактировался последний раз давно , я сканировал несколько раз и руткит хантер не реагировал на него. стоит ли всё его содержимое приводить?

[Linux_beginner]

mithrusc ты решил проблему с PUA.script.packed-1,2 ?
У меня сегодня комп че-то глюкнул нехило, копыто сбилось напрочь, пару раз глюкнул (но потом восстановился) лис. Я проверил каталоги прогой Virus Scanner, и он нашел несколько файлов PUA.script.packed-1 или -2 в разных папках. Их надо удалять или все-таки оставить?

[mithrusc]

Linux_beginner
Вирусная база свежая? пройдись avast'ом для линукса, он очень тщательно сканирует. Если ничего не найдет , то в принципе можно забить.
Clam находил эту вирусню в кешах firefox , можно снести эти файлы , потом он опять их создаст. Похоже ему не нравиться "контейнер" на то он и packed.
P.S сейчас проверил clamav home директорию - все чисто.