rkhunter

Sekcia: Aplikácie & Desktop 14.05.2018 | 19:53
Avatar valgan Devuan / amd 64  Používateľ

Ahojte,

Snažil som sa googliť, ale neúspešne. Chcel by som zoskenovať HDD z liveusb. Tak som nabutoval do liveusb. Potom som

1. dal mount /dev/sda1 - to ma mountlo na /media/sda1

2. cd /media/sda1

3.a napokon rkhunter -c

Tak neviem,či je tento postup správny, prípadne viete mi poradiť, ako postupovať.Asi by som mal HDD moutnuť ako RW

Ďakujem

    • RE: rkhunter 14.05.2018 | 20:40
      Avatar bedňa LegacyIce-antiX  Administrátor

      Asi áno hoci v dokumentácií je napísané rkhunter --check, ale zrejme to funguje rovnako.

      Ako znie známi vtip, "Hoci mi vírus nedokáže sám nainštalovať Tetris, zato má prístup ku všetkým mojim účtom ako PayPal, Bitcoin peňaženka ..."

      Samozrejme bezpečnosť si treba sledovať, no na dómacích počítačoch skôr nejaké kontrolné súčty súborov a napísať si skript na to sám, aby to vírus nepoznal.

      Tými kontrólnymi súčtami sa dá sledovať samozrejme aj systémová partícia.

      Tiež ma občas prepadne paranoja a sledujem čo sa deje, no základ je sa vyhnúť možnostiam svinstvo do systému dostať.

      Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
    • RE: rkhunter 15.05.2018 | 00:23
      Avatar čokolom   Návštevník

      Rkhunter je dobrý , ale on vlastne oznamuje všetko ako zmení ako už bolo napísané asi podľa zmeny kontrolných súčtov.

      Keď ho spustíte ihneď po inštalácií tak je to OK. Stačí natahat aktualizácie a už ukazuje upozornenia. Asi záleží aj od distro ako to má v sebe.

      Kto sa vtom bazmeku ma vyznat .....

      • RE: rkhunter 15.05.2018 | 09:20
        Avatar s@morast   Návštevník

        Rovnako tam zvykne davat fasle positive co moze neznaleho ale mozno i znaleho uzivatela zmiast.

    • RE: rkhunter 15.05.2018 | 08:19
      Avatar rorw   Návštevník

      mount pripaja dafaulne rw ... ak chces ro musis to zadat

    • RE: rkhunter 16.05.2018 | 19:09
      Avatar valgan Devuan / amd 64  Používateľ

      Ahojte,

      Ďakujem za reakcie. Kedže s týmto nemám zatial žiadnu skúsenosť, prosím o nasmerovanie. Jedná sa mi o tie kontrólne súčty.

      @ Bedňa - Povedzme, že si pomocou cksum vygenerujem súčty všetkých programov v /usr/bin a uložím do zoznamu. Potom spustím RKhunter a ten mi zobrazí Warning pri programe.Tak si vygenerujem pomocou cksum nový kontrólny súčet toho programu.

      Ak sa tento nový súčet bude líšiť znamená to, že bol program podvrhnutý?

      Po upgrade sa tie súčty programov zrejme zmenia?

      Ďakujem

      • RE: rkhunter 16.05.2018 | 21:58
        Avatar WlaSaTy   Návštevník

        Ak sa zmení kontrolný súčet programu, tak to znamená že bol program zmenený. Ten program mohol byť zmenený kvôli tomu že ho niekto podvrhol, alebo bol nahradený jeho novšou verziou počas bežného zaplátania alebo povýšenia verzie systému.

        V tom poslednom prípade sa jedná o false positive, teda o falošný poplach.

        • RE: rkhunter 16.05.2018 | 23:17
          Avatar joop   Návštevník
          V tom poslednom prípade sa jedná o false positive, teda o falošný poplach.

          Žiadne falošné poplachy rkhunter nedáva, neni to antivírus a nemá to v programe. Upozorňuje, že ten konkrétny hash je iný ako naposledy. Mechanická záležitosť, neskúma prečo bol ten hash zmenený. .

          • RE: rkhunter 17.05.2018 | 08:03
            Avatar WlaSaTy   Návštevník

            Upozorní že odtlačok súboru sa zmenil, a zabliká pri tom červenou kontrolkou. Tým vytvorí falošný poplach.

            Podobne fungujú aj antivírusy. Pár krát mi v práci antivírus zablokoval moje fotky keďže v tých mnou nafotených JPG sa nachádzala sekvencia "písmenok" ktorá bola zhodná s nejakým poznávacím znamením vírusu. A poslalo to report bezpečákovi ktorý potom nemohol pochopiť že tie antivírusy sú tak blbé.

          • RE: rkhunter 18.05.2018 | 14:54
            Avatar s@morast   Návštevník

            No neviem, udajne problematika false positive bola riesena na jednom fore ako bug daneho rkhunter. Ale mozno sa mylim. Na forach mozno najst viacero pripadov, kde sa uzivatelia pytaju na zistenia, ktore povazuju za alarmujuce. A odpovedou im bolo ze v tych najcastejsich a obligatnejsich sa jedna o bugy. Ale mozno sa mylim.

            • RE: rkhunter 18.05.2018 | 23:59
              Avatar joop   Návštevník

              Veď po kontrole kukni do

              cat /var/log/rkhunter.log
              A uvidíš podrobnosti.

              Falošný poplach dával chkrootkit:

              Suckit rootkit...         Warning: /sbin/init INFECTED
    • RE: rkhunter 19.05.2018 | 10:11
      Avatar valgan Devuan / amd 64  Používateľ

      Mne ide o to ako kontrolovat súčty súborov. Ak máte nejaký tip odkaz na návod budem rád.

      Čiže ako by ste postupovali, keby ste si chceli kontrolovať checksumy programov/súborov?

      dakujem

      • RE: rkhunter 19.05.2018 | 18:53
        Avatar kdurechova-   Návštevník

        na to bol tripwire tusim

      • RE: rkhunter 19.05.2018 | 20:21
        Avatar WlaSaTy   Návštevník

        Myslíš či sa ti pod rukou nezmenili binárky? To hádam zvláda balíčkovací systém.

    • RE: rkhunter 19.05.2018 | 21:35
      Avatar valgan Devuan / amd 64  Používateľ

      Programy instalujem len z repozitarov, takze tam riziko infekcie je mensie. Ale teoreticky by som po nasteve nejakeho webu mohol ziskat nejaky virus. Ako pise Bedna v prvej reakcii, ze je dobre si kontrolovat sucty programov. A to ma zaujima, ako by ste postupovali?

      Najprv by som si vytvoril sucet nejakeho programu.Neskor by som system updatoval/upgradoval, sucet by sa zmenil.Niekde by som si novy sucet ulozil.Dal by som rkhunter --propupd.

      Neskor by som opat spustil rkhunter a ten by mi vyhodil Warning. Vidim, ktory program je asi na vine. Tak si dam vygenerovat checksum toho programu a ten porovnam s ulozenou hodnotou. Ak sa lisia mam problem:(?

      N.B.-prepacte ze pisem bez makcenov

      • RE: rkhunter 20.05.2018 | 09:29
        Avatar WlaSaTy   Návštevník

        Toto vyzerá zaujímavo. Ako si teda predstavuješ že ti prestrelí mallware cez prehliadač internetu, a rovno aj získa eskalované práva roota bez ktorých programy neprepíšeš?