Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Как проверить, что файлы, о которых предупреждает RKHunter, подлинные?  (Прочитано 2010 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн nprim2013

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
RKHunter предупредил об изменённых файлах после обновления системы. До обновления этих предупреждений не было. Вероятно, это ложные срабатывания. Вот пример из журнала:

Warning: The file properties have changed:
  File: /usr/bin/ldd
  Current hash: 4bf6bf35721e1d4449f365aa96ec97aad4fe3f0e
  Stored hash : cd41b5f56aface6ff78207f955e5bb18a43146c1
  Current inode: 669433    Stored inode: 655759
  Current size: 5267    Stored size: 5265
  Current file modification time: 1380552974 (01-окт.-2013 01:56:14)
  Stored file modification time : 1366287131 (18-апр.-2013 23:12:11)

Если я правильно понимаю, сейчас "охотнику за руткитами" нужно дать команду --propupd. Но руководство говорит, что пользователь сам отвечает за проверку файлов на подлинность:

WARNING: It is the users responsibility to ensure that the files on the system are genuine and from a reliable source. rkhunter can only report if a file has changed, but not on what has caused the change.

Мне интересно, как проверить, что файлы подлинные?

Есть ли какие-нибудь эталонные базы хэшей, с которыми можно сравнить хэши подозрительных файлов? Или хэши двоичных файлов уникальны для каждого компьютера, т.е. эти файлы при установке изменяются?

Дополнительная информация: у меня Ubuntu 13.04 (Lubuntu); команду --update "охотнику" я давал.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net

Оффлайн nprim2013

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Получилось разобраться, поэтому сам отвечу на свой вопрос. Другим новичкам может пригодиться.

Проверить файлы на подлинность можно с помощью программы debsums. Она проверяет, соответствуют ли хэши файлов эталонным хэшам.

Если вам интересно знать, то сами эталонные хэши хранятся в папке /var/lib/dpkg/info, в файлах, которые оканчиваются на ".md5sums".

Например, когда я обновил систему, программа rkhunter указала, что файл /usr/bin/ldd изменился (смотрите вопрос выше). Если в поиске менеджера пакетов Synaptic ввести "ldd", то он покажет, что этот файл входит в пакет библиотеки "libc-bin". Проверить все файлы этой библиотеки, в том числе и файл /usr/bin/ldd, можно с помощью такой команды:

  debsums libc-bin

Результат её выполнения на моём компьютере:

  /sbin/ldconfig OK
  /sbin/ldconfig.real OK
  /usr/bin/catchsegv OK
  /usr/bin/getconf OK
  /usr/bin/getent  OK
  /usr/bin/iconv  OK
  /usr/bin/ldd  OK
  /usr/bin/locale  OK
  ...


Можно проверить сразу всю систему. Об этом можно прочитать в руководстве по программе debsums:

http://manpages.ubuntu.com/manpages/karmic/ru/man1/debsums.1.html

Пользователь решил продолжить мысль 31 Октябрь 2013, 09:34:26:
http://www.opennet.ru/tips/2631_check_security_rootkit_linux_rpm_deb_redhat_fedora_debian_ubuntu.shtml


Спасибо за полезную ссылку.

 

Страница сгенерирована за 0.084 секунд. Запросов: 27.