V
e
r

l
i
s
t
a
d
o

tractatus@lapipaplena:/# _

 

rkhunter

Buscador de rootkits instalados en el sistema

# rkhunter --update
recargar la base de datos
# rkhunter --propupd
si se ha modificado la función Hash o para reconstruir la base de datos y evitar "Warnings" tipo: Warning: The file properties have changed
# rkhunter -c
iniciar la aplicación
# rkhunter -c -sk
iniciar la aplicación sin pedir confirmación para proseguir después de cada sección
# rkhunter -c -sk --rwo
sin mostrar salida excepto los "Warnings"
# rkhunter --list
ver todas las opciones
# rkhunter --list rootkits
ver el listado se rootkits que busca
# rkhunter --list tests
listado de chequeos
# rkhunter --enable group_accounts,system_commands
solo chequear estas dos opciones
# rkhunter --disable shared_libs
descartar esta opción del chequeo
# cat /var/log/rkhunter.log | grep Warning
visualizar los "Warnings"
# egrep -i "warning:|\[ warning \]" /var/log/rkhunter.log && awk '/System checks summary/ {f=1}f' /var/log/rkhunter.log
otra forma de visualizar "warnings"
# rkhunter -C
ver las últimas modificaciones del archivo de configuración /etc/rkhunter.conf

1.-

Para solucionar el error: Warning: Hidden directory found: /etc/.java

# nano /etc/rkhunter.conf

Y descomentar la linea:

ALLOWHIDDENDIR="/etc/.java"

Nota.- para errores similares con archivos ocultos [/dev/.udev, /dev/.initramfs... ], descomentar la linea correspondiente.

2.-

Para errores de versión de ciertas aplicaciones [Warning: Application 'gpg', version ....]

# nano /etc/rkhunter.conf

Añadir apps a la linea:

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps"

3.-

Para suprimir falsa advertencias sobre posibles interfaces promiscuos [P.ejemplo de un servidor virtual], añadir "promisc" a la opción DISABLE_TESTS:

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps promisc"

4.-

Para que los valores se obtengan del gestor de paquetes correspondiente:

# nano /etc/rkhunter.conf

Y descomentar y modificar la linea PKGMGR:

PKGMGR=DPKG

Nota.- Otras opciones para distros no debian o para desactivar la opción: RPM, BSD,SOLARIS y NONE

5.-

Para evitar la nota: Warning: Suspicious file types found in /dev... añadir a /etc/rkhunter.conf la linea:

ALLOWDEVFILE=/dev/.../*

Nota.- Substituir los puntos supensivos por el subdirectorio oportuno.

6.-

Evitar el error: Invalid BINDIR configuration option: Not a directory: /snap/bin/kesty-whatsapp

He suprimido el programa que lo causaba:

# snap remove kesty-whatsapp

O dicen que suprimir la ruta al ejecutable /snap/bin/kesty-whatsapp que la tengo en .bashrc

7.-

Para evitar falsos "Warnings" del tipo: Warning: The following suspicious (large) shared memory segments have been found, que significa que existen procesos que usan segmentos de memoria compartida y que pueden comprobarse en el archivo de resultados /var/log/rkhunter.log, colocar en el archivo de configuración /etc/rkhunter.conf:

ALLOWIPCPROC=/usr/bin/firefox
ALLOWIPCPROC=/usr/lib/chromium/chromium
ALLOWIPCPROC=/usr/bin/liferea
ALLOWIPCPROC=/usr/bin/pcmanfm
...

Nota.- Pueden especificarse varios.

8.-

Puede que algunas utilidades principales que han sido reemplazadas por scripts produzcan falsas advertencias. Estas que pueden silenciarse a través de la lista blanca en /etc/rkhunter.conf:

SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which

9.-

Para evitar problemas con el --update tipo:

Checking rkhunter data files...
Checking file mirrors.dat [ Skipped ]
Checking file programs_bad.dat [ Update failed ]
Checking file backdoorports.dat [ Update failed ]
Checking file suspscan.dat [ Update failed ]
Checking file i18n versions [ Update failed ]

Editar el archivo de configuración /etc/rkhunter.conf y modificar los apartados siguientes de la forma especificada:

UPDATE_MIRRORS=1
MIRRORS_MODE=0

Que por defecto son:

UPDATE_MIRRORS=0
MIRRORS_MODE=1

Luego la ejecución de:

# rkhunter --update

dará como resultado algo tipo:

Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Skipped ]
Checking file i18n/de [ Skipped ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ Skipped ]
Checking file i18n/tr.utf8 [ Skipped ]
...

10.-

Paquetes opcionales adicionales son: unhide para encontrar procesos y puertos ocultos y skdet (wget http://dvgevers.home.xs4all.nl/skdet/skdet) para verificaciones adicionales de Suckit Rookit.

Navegando por staredsi.eu aceptas las cookies que utilizamos en esta web. Más información: Ver política de cookies
[0] 0:bash*
2123 entradas - Acerca del Tractatus
La Pipa Plena 2021