Comment lire un rapport journalier (Daily report) [rkhunter]Résolu/Fermé

Question

Bonjour, 
donc voila je suis un bleu en matiere de sécurité web mais on a tous passé par là :) !

Donc rkhunter est un outils que j'ai installé sur mon serveur linux ( ubuntu 14.10 ) et il m'envoie quotidiennement un rapport avec les possibilité de faille de sécurité.
voici le premier rapport

Warning: The file '/usr/sbin/inetd' exists on the system, but it is not present in
the 'rkhunter.dat' file.
Warning: The file '/usr/sbin/tcpd' exists on the system, but it is not present in
the 'rkhunter.dat' file.
Warning: The file '/usr/bin/GET' exists on the system, but it is not present in the
'rkhunter.dat' file.
Warning: The file '/usr/bin/lwp-request' exists on the system, but it is not present
in the 'rkhunter.dat' file.
Warning: The modules file '/proc/modules' is missing.
Warning: The kernel modules directory '/lib/modules' is missing or empty.
Warning: Network TCP port 1524 is being used by /usr/sbin/portsentry. Possible
rootkit: Possible FreeBSD (FBRK) Rootkit backdoor
         Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Network TCP port 6667 is being used by /usr/sbin/portsentry. Possible
rootkit: Possible rogue IRC bot
         Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Network TCP port 31337 is being used by /usr/sbin/portsentry. Possible
rootkit: Historical backdoor port
         Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: /dev/.udev


J'aimerai juste savoir #commentçamarche !!

Merci

mamiemando · Accepted Answer

Explication des sorties de rkhunter En gros il dit que certains démons (inetd, tcpd...) ne peuvent pas être contrôlés (mais tournent sur ta machine) car il ne sont pas connus de rkhunter. Il faut te demander s'ils sont légitimes ou pas. Ils ont normalement été installés via un paquet. Si tu as utilisé debian tu peux utiliser debsum pour les contrôler. https://www.mistra.fr/tutoriel-linux-pirates-rootkit.html Il dit ensuite que /proc/modules est manquant. C'est assez surprenant car normalement ce "fichier" est plutôt standard. En réalité, /proc correspond à une interface exposée par le noyau linux pour donner des informations à son sujet. /proc/modules indique notamment quels modules sont actuellement chargés, un module étant un morceau de noyau. Pour rappel le noyau est la couche logicielle qui fait la médiation entre le système d'exploitation et le matériel (il gère notamment le matériel, les protocoles réseaux, les systèmes de fichiers, etc...). Ensuite un certain nombre de port plus ou moins suspects sont utilisés par portsentry, un logiciel destiné à se prémunir contre certaines attaques (scan de port, etc...). Les commandes lsof -i et netstat -an permettent de récupérer des informations sur l'activité réseau (mais ce sont également souvent les premières qui sont altérées par un rootkit). Ceci dit, si ton rkhunter est fiable et qu'il n'a pas tiqué sur ces commandes, tu peux a priori avoir confiance dans le résultat qu'elles affichent. Enfin, rkhunter liste quelques fichiers qui semblent suspects, notamment une règle udev et un répertoire caché dans /dev. rkhunter t'incite à regarder ici ce qui y traîne car ces fichiers semblent suspects. Un exemple concret À titre indicatif j'ai lancé la commande rkhunter -c sur ma machine et j'ai tout au vert sauf : Performing system configuration file checks Checking for an SSH configuration file [ Found ] Checking if SSH root access is allowed [ Warning ] Checking if SSH protocol v1 is allowed [ Not allowed ] Checking for a running system logging daemon [ Found ] Checking for a system logging configuration file [ Found ] Performing filesystem checks Checking /dev for suspicious file types [ Warning ] Checking for hidden files and directories [ Warning ]System checks summary=====================File properties checks... Files checked: 143 Suspect files: 0Rootkit checks... Rootkits checked : 379 Possible rootkits: 0Applications checks... All checks skippedThe system checks took: 1 minute and 15 secondsAll results have been written to the log file: /var/log/rkhunter.log Comme on le voit ici il n'y a pas de rootkit ou de commande "sensible" infectée, ce qui signifie qu'a priori je "contrôle" encore à peu près ma machine :-) J'ai quelques warnings qui correpondent à des trous potentiels de sécurité. J'ai fixé le premier warning dans mon cas en corrigeant /etc/ssh/sshd_config et en relançant ssh. Pour les deux suivants il m'a fallu plonger dans les logs de rkhunter (/var/log/rkhunter.log) : [21:20:26] Info: SCAN_MODE_DEV set to 'THOROUGH'[21:20:27] Checking /dev for suspicious file types [ Warning ][21:20:27] Warning: Suspicious file types found in /dev:[21:20:27] /dev/shm/pulse-shm-14829031: data[21:20:27] /dev/shm/pulse-shm-2850614116: data[21:20:27] /dev/shm/pulse-shm-2723327162: data[21:20:27] /dev/shm/pulse-shm-2229748713:341?A¼<85><97>?¼)¿w¼ùôP¼3ìW¼üÙO¼þXD¼?Ì8": 341^KA¼<85><97>^B¼)¿w¼ùôP¼3ìW¼üÙO¼þXD¼^VÌ8"[21:20:27] /dev/shm/pulse-shm-304149844: data[21:20:27] /dev/shm/pulse-shm-2553932753: data[21:20:27] /dev/shm/pulse-shm-2223891928: data[21:20:27] /dev/shm/pulse-shm-4139134599: data[21:20:27] Checking for hidden files and directories [ Warning ][21:20:27] Warning: Hidden directory found: /etc/.java Ici on voit que j'ai un /etc/.java. Après examen ce répertoire ne contient que des fichiers vides, et je n'en trouve pas trace avec apt-file search /etc/.java donc je les ai dégagés. Concernant les fichiers dans /dev/shm, ce sont des fichiers créés par mon utilisateur, créé quand j'ai démarré graphiquement, et qui correspondent visiblement au serveur de son (pulseaudio). Je décide donc d'ignorer ce warning. On s'aperçoit dans mon cas en grattant un peu que c'est une alerte classique et pas grave dans les deux cas : http://ubuntuforums.org/showthread.php?t=774783 Pour conclure Personnellement je trouve assez suspectes beaucoup des sorties que tu as observées. Comme tu le vois une machine à peu près proprement gérée est sensée générer peu d'erreur rkhunter (ici c'était une debian jessie). Donc je t'invite à contrôler avec soin les alertes remontées par rkhunter... Certains binaires inconnus de rkhunter sont a priori issus de paquets qu'on peut retrouver (sous debian ou distribution assimilée) avec apt-file qui s'installe comme suit (installons aussi debsum au passage) : sudo apt-get updatesudo apt-get install apt-file debsumsapt-file update On retrouve ainsi que les paquets dont sont issus les binaires inconnus par rkhunter sont issus des paquets suivants : (mando@velvet) (~) $ apt-file search bin/GET | grep bin/GET$libwww-perl: /usr/bin/GET(mando@velvet) (~) $ apt-file search bin/tcpd | grep bin/tcpd$tcm: /usr/bin/tcpdtcpd: /usr/sbin/tcpd(mando@velvet) (~) $ apt-file search bin/inetd | grep bin/inetd$openbsd-inetd: /usr/sbin/inetd Si tu es effectivement passés par des paquets tu devrais les voir avec la commande dpkg : dpkg -l | egrep "tcpd|libwww-perl|openbsd-inetd" ... et s'ils sont effectivement installés, les contrôler avec debsum... debsums Bonne chance

mamiemando · Answer

Je ne sais pas, en fait il faut vraiment prendre le temps de regarder. Le mieux étant de copier coller les messages dans google pour comprendre comment les résoudre. Tu verras notamment que certaines alertes rkhunter sont classiques et peuvent être ignorées dans certains cas, et les gens ont tendance à les filtrer avec une white-list.

Moi déjà je me demanderais s'il est légitime que les ports signalés par rkhunter ont lieu d'être, s'ils sont utilisés (voir netstat -ntlp, etc).

Bonne chance

Comment lire un rapport journalier (Daily report) [rkhunter]

2 réponses

Discussions similaires

Newsletters