Предупреждения rkhunter и chkrootkit

[UbuntWindow]

Просканировал сегодня систему. Подскажите, есть ли что-то серьезное или подозрительное в этих логах?

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

[08:53:55] Warning: Checking for prerequisites               [ Warning]
[08:53:55]          The local host configuration or operating system has changed.
[08:53:59]   /usr/local/bin/rkhunter                         [ OK]
[08:54:00]   /usr/sbin/adduser                               [ Warning]
[08:54:00] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: Perl script text executable
[08:54:00]   /usr/sbin/chroot                                [ OK]
[08:54:00]   /usr/sbin/cron                                  [ OK]
[08:54:00]   /usr/sbin/depmod                                [ OK]
[08:54:01]   /usr/sbin/fsck                                  [ OK]
--
[08:54:01]   /usr/sbin/ifconfig                              [ Warning]
[08:54:01] Warning: The file '/usr/sbin/ifconfig' exists on the system, but it is not present in the 'rkhunter.dat' file.
[08:54:02]   /usr/sbin/init                                  [ Warning]
[08:54:02] Warning: The file properties have changed:
[08:54:02]          File: /usr/sbin/init
[08:54:02]          Current hash: f6f0a536b93887810d9476227f6b098667e6e7f6c9b1568df1e3ffca5a53e83e
[08:54:02]          Stored hash: b629b45e0c33e91220a05852d836b277aa9b4b5b2e6e13f37f7bd46fdffc4ee7
[08:54:02]          Current inode: 144458    Stored inode: 130968
--
[08:54:03]   /usr/sbin/route                                 [ Warning]
[08:54:03] Warning: The file '/usr/sbin/route' exists on the system, but it is not present in the 'rkhunter.dat' file.
[08:54:04]   /usr/sbin/rsyslogd                              [ OK]
[08:54:04]   /usr/sbin/runlevel                              [ Warning]
[08:54:04] Warning: The file properties have changed:
[08:54:04]          File: /usr/sbin/runlevel
[08:54:04]          Current hash: c3bcef5b086246035a892b4ae306aef1f6b0457f72f4b549fea176bfe82ab67f
[08:54:04]          Stored hash: 1741532cad19aaccd1a3f5925b31c1482972184822b9faf6547de33b63ff6c16
[08:54:04]          Current inode: 144481    Stored inode: 131126
--
[08:54:06]   /usr/bin/bash                                   [ Warning]
[08:54:06] Warning: The file properties have changed:
[08:54:06]          File: /usr/bin/bash
[08:54:06]          Current hash: 04a484f27a4b485b28451923605d9b528453d6c098a5a5112bec859fb5f2eea9
[08:54:06]          Stored hash: 3f5292ab83b947bc11a4bf326db1da6881e4a9a7429bde9e454d09bda87eda69
[08:54:06]          Current inode: 133545    Stored inode: 130910
--
[08:54:08]   /usr/bin/egrep                                  [ Warning]
[08:54:08] Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
[08:54:08]   /usr/bin/env                                    [ OK]
[08:54:09]   /usr/bin/fgrep                                  [ Warning]
[08:54:09] Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
[08:54:09]   /usr/bin/file                                   [ OK]
[08:54:09]   /usr/bin/find                                   [ OK]
[08:54:09]   /usr/bin/fuser                                  [ OK]
[08:54:09]   /usr/bin/GET                                    [ OK]
--
[08:54:11]   /usr/bin/ldd                                    [ Warning]
[08:54:11] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
[08:54:11]   /usr/bin/less                                   [ Warning]
[08:54:11] Warning: The file properties have changed:
[08:54:11]          File: /usr/bin/less
[08:54:11]          Current hash: 37591744219df45ce8421a848e271877e524386598754423a2e0018405732e34
[08:54:11]          Stored hash: d750399885c0dfc41dcf34d75529554ba636219fd910daa96923d172cdf2fcba
[08:54:11]          Current inode: 131678    Stored inode: 131447
--
[08:54:13]   /usr/bin/netstat                                [ Warning]
[08:54:13] Warning: The file '/usr/bin/netstat' exists on the system, but it is not present in the 'rkhunter.dat' file.
[08:54:13]   /usr/bin/newgrp                                 [ OK]
[08:54:13]   /usr/bin/passwd                                 [ OK]
[08:54:13]   /usr/bin/perl                                   [ OK]
[08:54:13]   /usr/bin/pgrep                                  [ OK]
--
[08:54:19]   /usr/bin/which                                  [ Warning]
[08:54:19] Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
[08:54:19]   /usr/bin/who                                    [ OK]
[08:54:19]   /usr/bin/whoami                                 [ OK]
[08:54:19]   /usr/bin/numfmt                                 [ OK]
[08:54:19]   /usr/bin/kmod                                   [ OK]
[08:54:19]   /usr/bin/systemd                                [ Warning]
[08:54:19] Warning: The file properties have changed:
[08:54:19]          File: /usr/bin/systemd
[08:54:19]          Current hash: f6f0a536b93887810d9476227f6b098667e6e7f6c9b1568df1e3ffca5a53e83e
[08:54:20]          Stored hash: b629b45e0c33e91220a05852d836b277aa9b4b5b2e6e13f37f7bd46fdffc4ee7
[08:54:20]          Current inode: 144585    Stored inode: 136306
--
[08:54:20]   /usr/bin/systemctl                              [ Warning]
[08:54:20] Warning: The file properties have changed:
[08:54:20]          File: /usr/bin/systemctl
[08:54:20]          Current hash: c3bcef5b086246035a892b4ae306aef1f6b0457f72f4b549fea176bfe82ab67f
[08:54:20]          Stored hash: 1741532cad19aaccd1a3f5925b31c1482972184822b9faf6547de33b63ff6c16
[08:54:20]          Current inode: 144492    Stored inode: 131542
--
[08:54:20]   /usr/bin/lwp-request                            [ Warning]
[08:54:20] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
[08:54:20]   /usr/bin/dash                                   [ OK]
[08:54:20]   /usr/bin/x86_64-linux-gnu-size                  [ OK]
[08:54:21]   /usr/bin/x86_64-linux-gnu-strings               [ OK]
[08:54:21]   /usr/bin/telnet.netkit                          [ OK]
--
[08:54:28]   /usr/lib/systemd/systemd                        [ Warning]
[08:54:28] Warning: The file properties have changed:
[08:54:28]          File: /usr/lib/systemd/systemd
[08:54:28]          Current hash: f6f0a536b93887810d9476227f6b098667e6e7f6c9b1568df1e3ffca5a53e83e
[08:54:28]          Stored hash: b629b45e0c33e91220a05852d836b277aa9b4b5b2e6e13f37f7bd46fdffc4ee7
[08:54:28]          Current inode: 144505    Stored inode: 131892

Лог chkrootkit:

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

The following suspicious files and directories were found: 
/usr/lib/debug/.build-id /usr/lib/modules/5.4.0-40-generic/vdso/.build-id /usr/lib/modules/5.4.0-42-generic/vdso/.build-id /usr/lib/python3/dist-packages/PyQt5/uic/widget-plugins/.noinit
/usr/lib/debug/.build-id /usr/lib/modules/5.4.0-40-generic/vdso/.build-id /usr/lib/modules/5.4.0-42-generic/vdso/.build-id

(Нажмите, чтобы показать/скрыть)

Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла. Длинные гиперссылки следует оформлять при помощи тега [url=]...[/url]

Отправлено уведомление о нарушении в ЛС пользователю. Исправлено форматирование. Добавлены теги.
  --zg_nico
ТС не появлялся на Форуме более трех месяцев по состоянию на 19/03/2021 (последняя явка: 28/09/2020). Модератором раздела принято решение закрыть тему.
--zg_nico

[Dzhoser]

Ну по Хантеру у Вас было обновления и изменились системные файлы поэтому вы получили warning. И какая то прога через perl добавила нового пользователя. Это нужно проверить. По второй программе это ложное срабатывание. Если вы ставите ядра с оф репозиторий беспокоится не о чем.

[UbuntWindow]

И какая то прога через perl добавила нового пользователя. Это нужно проверить.

А как узнать, какая программа могла это сделать и что это за пользователь такой? Я использовал firejail например, она могла это сделать?

[zg_nico]

что это за пользователь такой

например вывод этой команды посмотрите:

Код: [Выделить]

sed 's/:.*//' /etc/passwdв нем будет полный перечень зарегистрированных пользователей. По нему и смотрите что за юзверь у Вас добавился. Последние входы в систему:

Код: [Выделить]

lastlogкто сейчас авторизован, и чем занимается:

Код: [Выделить]

w

[Dzhoser]

zg_nico,

Последние входы в систему:
Код: [Выделить]

lastlog

Данная команда покажет только консольные входы, входы через графику могут отсутствовать. Я например каждый день вхожу в систему через lightdm под пользователем user, но у меня только одна запись, я когда то заходил через консоль

Код: [Выделить]

user             tty1                      Сб июл  4 20:28:39 +0300 2020Для просмотров графических входов я использую

Код: [Выделить]

last -a  и тогда отображается полная информация по консоли tty7 (графический вход).

[UbuntWindow]

Вот, что получилось:

(Нажмите, чтобы показать/скрыть)

Список юзеров:

root
daemon
bin
sys
sync
games
man
lp
mail
news
uucp
proxy
www-data
backup
list
irc
gnats
nobody
systemd-network
systemd-resolve
systemd-timesync
messagebus
syslog
_apt
tss
uuidd
tcpdump
avahi-autoipd
usbmux
rtkit
dnsmasq
cups-pk-helper
speech-dispatcher
avahi
kernoops
saned
nm-openvpn
hplip
whoopsie
colord
geoclue
pulse
gnome-initial-setup
gdm
systemd-coredump
debian-tor

Это последние залогирования в систему (как я понял):

reboot   system boot  Thu Jul 30 07:17   still running      5.4.0-42-generic
reboot   system boot  Tue Jun 23 06:53 - 06:57  (00:03)     5.4.0-26-generic

Там был мой юзер и вот этот. Там, где у этого написано время, у моего всегда "down". Эти две строчки это первая и последняя запись этого юзера, из длинного списка всех входов.

Заканчивался этот список такой строкой:

wtmp begins Tue Jun 23 06:53:24 2020

Есть что-нибудь не то?

[Dzhoser]

debian-tor

Если программу не ставили, то этот пользователь подозрителен.

Там был мой юзер и вот этот.

Я не знаю какой пользователь Ваш, а какой этот. Имен Вы не предоставили, а экстрасенсорными способностями я не обладаю. Так вроде все нормально из той информации, что Вы предоставили. Кроме Тора.

[UbuntWindow]

Dzhoser, 

debian-tor

Если программу не ставили, то этот пользователь подозрителен.

А что за программа могла установить такого юзера? У меня на Ubuntu стоит tor (в качестве службы) и отдельно Tor Browser. Они на разных портах, работают независимо друг от друга.

Там был мой юзер и вот этот.

Я не знаю какой пользователь Ваш, а какой этот. Имен Вы не предоставили, а экстрасенсорными способностями я не обладаю. Так вроде все нормально из той информации, что Вы предоставили. Кроме Тора.

ну так своего пользователя я знаю. В этих двух строчках

(Нажмите, чтобы показать/скрыть)

reboot   system boot  Thu Jul 30 07:17   still running      5.4.0-42-generic
reboot   system boot  Tue Jun 23 06:53 - 06:57  (00:03)     5.4.0-26-generic

я указал именно того другого пользователя.

[Dzhoser]

Значит пользователя debian-tor добавила программа Tor (которая служба скорее всего). Второго пользователя могли бы и жирным выделить. Я больше гаданиями заниматься не буду.

[UbuntWindow]

Dzhoser, ну так "reboot" же. Разве не? Согласен, странное имя для пользователя, но команда last -a должна была выдавать вроде всех пользователей, кто в данный момент залогинен. Эта строчка всегда чередовалась со строкой моего пользователя. Или я принял за пользователя простой отчет? 
Пользователь добавил сообщение 31 Июля 2020, 09:14:28:Dzhoser,

Значит пользователя debian-tor добавила программа Tor (которая служба скорее всего).

Я видел как-то такую команду, что можно с помощью нее узнавать какая программа привязана к какому процессу. Нельзя ли таким же образом и пользователя проверить? Указать его и чтобы выдало какая прога с ним связанна?

[Dzhoser]

Программы могут запускаться от разных пользователей. Какая программа из под какого пользователя работает можно узнать командами

Код: [Выделить]

ps -ux

Код: [Выделить]

htop установить

sudo apt install htop

Код: [Выделить]

top отображает процессы в реальном времени.

[UbuntWindow]

Dzhoser,

Программы могут запускаться от разных пользователей. Какая программа из под какого пользователя работает можно узнать командами

Код: [Выделить]

ps -ux

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
1596222644 WARNING torsocks[2917]: [syscall] Unsupported syscall number 39. Denying the call (in tsocks_syscall() at syscall.c:605)
Assertion 'fclose_nointr(f) != -EBADF' failed at src/basic/fd-util.c:121, function safe_fclose(). Aborting.
Signal 6 (ABRT) caught by ps (UNKNOWN).
ps:ps/display.c:66: пожалуйста, сообщите об этой ошибке

Между прочим эти сообщения с предупреждениями (Warning) у меня выскакивают всегда среди лога тора, когда я ввожу

Код: [Выделить]

systemctl status tor Они составляют его большую часть.

Код: [Выделить]

htop установить

Код: [Выделить]

sudo apt install htop

Юзер Debian Tor закреплен за usr/bin/tor.

[Dzhoser]

Tor нужно обновить https://gitweb.torproject.org/torsocks.git

[UbuntWindow]

Dzhoser, я не хотел еще раз вам писать, но так и не нашел способа как обновлять tor в Ubuntu. На той странице, что вы мне кинули я даже не могу понять куда мне конкретно кликнуть.  А если выбирать из версий что там предложены, то там даже нет кнопки "скачать". Опять с этими Linuxами все не как у людей.  Как обновить tor на Ubuntu, вы не подскажете?

[Dzhoser]

UbuntWindow, а как вы его устанавливали? Если через репозиторий
sudo apt update && sudo apt upgrade -y