Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Предупреждения rkhunter и chkrootkit  (Прочитано 3570 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Предупреждения rkhunter и chkrootkit
« : 29 Июля 2020, 11:44:11 »
Просканировал сегодня систему. Подскажите, есть ли что-то серьезное или подозрительное в этих логах?
(Нажмите, чтобы показать/скрыть)
Лог chkrootkit:
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
Отправлено уведомление о нарушении в ЛС пользователю. Исправлено форматирование. Добавлены теги.
  --zg_nico


ТС не появлялся на Форуме более трех месяцев по состоянию на 19/03/2021 (последняя явка: 28/09/2020). Модератором раздела принято решение закрыть тему.
--zg_nico
« Последнее редактирование: 19 Марта 2021, 14:32:07 от zg_nico »

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #1 : 29 Июля 2020, 12:43:56 »
Ну по Хантеру у Вас было обновления и изменились системные файлы поэтому вы получили warning. И какая то прога через perl добавила нового пользователя. Это нужно проверить. По второй программе это ложное срабатывание. Если вы ставите ядра с оф репозиторий беспокоится не о чем.

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #2 : 29 Июля 2020, 23:33:45 »
И какая то прога через perl добавила нового пользователя. Это нужно проверить.
А как узнать, какая программа могла это сделать и что это за пользователь такой? Я использовал firejail например, она могла это сделать?

Оффлайн zg_nico

  • Заслуженный пользователь
  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 3513
  • Nil mortalibus arduum est
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #3 : 30 Июля 2020, 06:52:05 »
что это за пользователь такой
например вывод этой команды посмотрите:sed 's/:.*//' /etc/passwdв нем будет полный перечень зарегистрированных пользователей. По нему и смотрите что за юзверь у Вас добавился. Последние входы в систему:lastlogкто сейчас авторизован, и чем занимается:w
Thunderobot G150-D2: Intel SkyLake Core i7-6700HQ 2.60GHz, 8Gb DDR4 2133 MHz, Intel HD530, NVidia GeForce GTX 960M 2Gb.  Ubuntu 16.04 64x [Unity], KUbuntu 18.04 64x.

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #4 : 30 Июля 2020, 07:24:34 »
zg_nico,
Последние входы в систему:
Код: [Выделить]

lastlog
Данная команда покажет только консольные входы, входы через графику могут отсутствовать. Я например каждый день вхожу в систему через lightdm под пользователем user, но у меня только одна запись, я когда то заходил через консоль
user             tty1                      Сб июл  4 20:28:39 +0300 2020Для просмотров графических входов я использую
last -a  и тогда отображается полная информация по консоли tty7 (графический вход).

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #5 : 31 Июля 2020, 01:09:40 »
Вот, что получилось:

(Нажмите, чтобы показать/скрыть)

Есть что-нибудь не то?

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #6 : 31 Июля 2020, 06:40:22 »
debian-tor
Если программу не ставили, то этот пользователь подозрителен.
Там был мой юзер и вот этот.
Я не знаю какой пользователь Ваш, а какой этот. Имен Вы не предоставили, а экстрасенсорными способностями я не обладаю. Так вроде все нормально из той информации, что Вы предоставили. Кроме Тора.
« Последнее редактирование: 31 Июля 2020, 06:41:57 от Dzhoser »

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #7 : 31 Июля 2020, 08:33:19 »
Dzhoser
debian-tor
Если программу не ставили, то этот пользователь подозрителен.
А что за программа могла установить такого юзера? У меня на Ubuntu стоит tor (в качестве службы) и отдельно Tor Browser. Они на разных портах, работают независимо друг от друга.
Там был мой юзер и вот этот.
Цитировать
Я не знаю какой пользователь Ваш, а какой этот. Имен Вы не предоставили, а экстрасенсорными способностями я не обладаю. Так вроде все нормально из той информации, что Вы предоставили. Кроме Тора.
ну так своего пользователя я знаю. В этих двух строчках
(Нажмите, чтобы показать/скрыть)
я указал именно того другого пользователя.
« Последнее редактирование: 31 Июля 2020, 08:35:34 от UbuntWindow »

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #8 : 31 Июля 2020, 08:41:29 »
Значит пользователя debian-tor добавила программа Tor (которая служба скорее всего). Второго пользователя могли бы и жирным выделить. Я больше гаданиями заниматься не буду.

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #9 : 31 Июля 2020, 09:09:25 »
Dzhoser, ну так "reboot" же. Разве не? Согласен, странное имя для пользователя, но команда last -a должна была выдавать вроде всех пользователей, кто в данный момент залогинен. Эта строчка всегда чередовалась со строкой моего пользователя. Или я принял за пользователя простой отчет?  ;D

Пользователь добавил сообщение 31 Июля 2020, 09:14:28:
Dzhoser,
Значит пользователя debian-tor добавила программа Tor (которая служба скорее всего).
Я видел как-то такую команду, что можно с помощью нее узнавать какая программа привязана к какому процессу. Нельзя ли таким же образом и пользователя проверить? Указать его и чтобы выдало какая прога с ним связанна?
« Последнее редактирование: 31 Июля 2020, 09:14:28 от UbuntWindow »

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #10 : 31 Июля 2020, 10:03:33 »
Программы могут запускаться от разных пользователей. Какая программа из под какого пользователя работает можно узнать командами
ps -uxhtop установить
Цитировать
sudo apt install htop
top отображает процессы в реальном времени.

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #11 : 31 Июля 2020, 22:53:09 »
Dzhoser,
Программы могут запускаться от разных пользователей. Какая программа из под какого пользователя работает можно узнать командами
ps -ux
(Нажмите, чтобы показать/скрыть)
Между прочим эти сообщения с предупреждениями (Warning) у меня выскакивают всегда среди лога тора, когда я ввожу systemctl status tor Они составляют его большую часть.
Цитировать
htop установить sudo apt install htop
Юзер Debian Tor закреплен за usr/bin/tor.
« Последнее редактирование: 08 Августа 2020, 10:54:34 от zg_nico »

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #12 : 01 Августа 2020, 08:52:00 »
Tor нужно обновить https://gitweb.torproject.org/torsocks.git

Оффлайн UbuntWindow

  • Автор темы
  • Любитель
  • *
  • Сообщений: 79
    • Просмотр профиля
Re: Предупреждения rkhunter и chkrootkit
« Ответ #13 : 02 Августа 2020, 12:19:11 »
Dzhoser, я не хотел еще раз вам писать, но так и не нашел способа как обновлять tor в Ubuntu. ;D На той странице, что вы мне кинули я даже не могу понять куда мне конкретно кликнуть.  ;D А если выбирать из версий что там предложены, то там даже нет кнопки "скачать". Опять с этими линуксами все не как у людей.  ;D Как обновить tor на Ubuntu, вы не подскажете? :)

Dzhoser

  • Гость
Re: Предупреждения rkhunter и chkrootkit
« Ответ #14 : 02 Августа 2020, 12:58:04 »
UbuntWindow, а как вы его устанавливали? Если через репозиторий
sudo apt update && sudo apt upgrade -y

 

Страница сгенерирована за 0.096 секунд. Запросов: 25.