rkhunter találat

Ubuntu Linux

Sziasztok!

Egy ubuntu-s gépen végigfuttattam az rkhunter, és az alábbit dobta ki.
Warning: egrep, fgrep, which, groups, ldd, lwp-request, adduser,
checking for hidden files and directories, checking version of exim mta, openssl, php, openssh.

OS: ubuntu 7.10 gutsy
kernel: 2.6.22-14-generic.

unhide talált 3, 4, 5, ill. 6(változó) rejtett processt.

A belső hálókártyára mindig érkezik egy dhcp kérés, de olyan mac addressel ami fizikálisan nem létezik a hálózaton.
A 445-s porton érkeznek csomagok a hálózatra, pedig tűzfal szerint zárva van.

Valakinek van ötlete a javításra?

  • 1585 megtekintés

( veyron007 | 2010. 05. 06., cs – 12:19 )

Ha fríssíted a rendszert, és rögtön utána futtatod az rkhuntert - de az rkhunter adatbázisát nem frissíted - lejezni fog hiszen a checksumok megváltoztak. Ha ez nem így történt jó lesz szétnézni a rendszeredben.

Mellesleg ezekre az alkalmazásokra anno nekem is jelzett, "csak úgy" Etch, Lenny-nél SŐT frissen telepített Lenny-nél is, és még 2 fajta Ubuntun is ... ezt bugnak vélem felfedezni. Az rkhunter jelzéseit fenntartásokkal kell kezelni.

( veyron007 | 2010. 05. 06., cs – 12:23 )

"A belső hálókártyára mindig érkezik egy dhcp kérés, de olyan mac addressel ami fizikálisan nem létezik a hálózaton."
-- > log, log, log.

"A 445-s porton érkeznek csomagok a hálózatra, pedig tűzfal szerint zárva van."
-- > log, log, log, valamint tűzfal.


May 6 07:38:20 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:38:21 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:38:43 server kernel: [602859.092338] Outbound IN=eth1 OUT=eth0 SRC=10.0.0.21 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=63 ID=46854 PROTO=UDP SPT=138 DPT=138 LEN=209
May 6 07:39:24 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:39:25 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:40:28 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:40:29 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:41:22 server dhcpd: DHCPREQUEST for 10.0.0.12 from 00:18:f8:92:aa:58 via eth1
May 6 07:41:22 server dhcpd: DHCPACK on 10.0.0.12 to 00:18:f8:92:aa:58 via eth1
May 6 07:41:32 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:41:33 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:41:33 server dhcpd: DHCPREQUEST for 10.0.0.11 from 00:18:f8:92:cf:88 via eth1
May 6 07:41:33 server dhcpd: DHCPACK on 10.0.0.11 to 00:18:f8:92:cf:88 via eth1
May 6 07:42:36 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:42:37 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1

May 6 07:56:28 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:56:29 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:57:32 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:57:33 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:58:36 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:58:37 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:59:40 server dhcpd: DHCPDISCOVER from 00:1a:64:77:86:52 (64778652) via eth1
May 6 07:59:41 server dhcpd: DHCPOFFER on 10.0.0.250 to 00:1a:64:77:86:52 (64778652) via eth1

May 6 08:00:40 server kernel: [604172.272776] Inbound IN=eth0 OUT= MAC=00:18:f8:0e:71:0b:00:24:51:30:8a:c4:08:00 SRC=187.117.31.76 DST= LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=57393 DF PROTO=TCP SPT=3987 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 6 08:00:43 server kernel: [604175.266304] Inbound IN=eth0 OUT= MAC=00:18:f8:0e:71:0b:00:24:51:30:8a:c4:08:00 SRC=187.117.31.76 DST= LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=57468 DF PROTO=TCP SPT=3987 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 6 08:04:14 server kernel: [604385.869971] Inbound IN=eth0 OUT= MAC=00:18:f8:0e:71:0b:00:24:51:30:8a:c4:08:00 SRC=89.45.155.6 DST= LEN=48 TOS=0x00 PREC=0x20 TTL=121 ID=11977 DF PROTO=TCP SPT=3803 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 6 08:04:17 server kernel: [604388.821700] Inbound IN=eth0 OUT= MAC=00:18:f8:0e:71:0b:00:24:51:30:8a:c4:08:00 SRC=89.45.155.6 DST= LEN=48 TOS=0x00 PREC=0x20 TTL=121 ID=12107 DF PROTO=TCP SPT=3803 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 6 08:04:41 server kernel: [604412.615906] Inbound IN=eth0 OUT= MAC=00:18:f8:0e:71:0b:00:24:51:30:8a:c4:08:00 SRC=200.37.146.66 DST= LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=857 DF PROTO=TCP SPT=4518 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 6 08:04:44 server kernel: [604415.593344] Inbound IN=eth0 OUT= MAC=00:18:f8:0e:71:0b:00:24:51:30:8a:c4:08:00 SRC=200.37.146.66 DST= LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=958 DF PROTO=TCP SPT=4518 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0

A kernel üzeneteiből az látszik, hogy kívülről - ha az eth0 a külső - különféle IP-kről próbálkoznak a te IP-d TCP/445-ös portjának elérésével. Ez - sajnos - "normális" jelenség a mai interneten.

"A 445-s porton érkeznek csomagok a hálózatra, pedig tűzfal szerint zárva van."
A külső interfészre érkeznek, a logból az látszik, hogy nem továbbította az eth1-re.

"A belső hálókártyára mindig érkezik egy dhcp kérés, de olyan mac addressel ami fizikálisan nem létezik a hálózaton."
Itt valószínűleg a percenként (nem) próbálkozó 00:1a:64:77:86:52-vel érzel problémát - egy IBM hálózati interfészes eszközt keress. Próbáld behatárolni, nézd meg a switch MAC address tábláját, vagy a wifis eszköz kapcsolatait. Ha máshogy nem megy, próbáld egyesével lehúzni az összes eszközt a hálózatról kis időre.

( cannibal | 2010. 05. 06., cs – 16:23 )

[10:34:37] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: POSIX shell script text executable
[10:34:37] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: POSIX shell script text executable
[10:34:41] Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
[10:34:44] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: POSIX shell script text executable
[10:34:46] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
[10:34:53] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: perl script text executable
[10:34:57] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: perl script text executable

Biztonságos Linux.

A felvetések érdemi része jogos lehet, de ez csak jelzés, ugyanis ezek egy része alapállapotban ilyen. Az egrep, fgrep, groups ELF, de a which valóban "POSIX shell script text executable", az ldd "Bourne-Again shell script text executable", az lwp-request és az adduser pedig "a /usr/bin/perl -w script text executable" illetve "a /usr/bin/perl script text executable" a file szerint (Debianon nézve).

( djsilas | 2010. 05. 06., cs – 16:28 )

"A belső hálókártyára mindig érkezik egy dhcp kérés, de olyan mac addressel ami fizikálisan nem létezik a hálózaton."

És olyan esetleg nem elképzelhető, hogy vkinek az okostelefonja próbál csatlakozni a hálózatra?

Nem hiszem, hogy telefon lenne, mert 0-24 időtartamban próbálkozik. Csak kiragadtam egy részletet a logból.
Igazából azért is ilyesztő nekem ez az egész, mert nem tudom, hogy mi írja be időközönként az smb.conf-ba az 'available no' bejegyzést. Illetve valami nagyon lelassítja a hálózatot. De ezt nekem kell kiderítenem. :)

stra:
A switch mac address lista jó ötlet. :)
Egyenlőre nem értem, hogy mi, és miért keresi folyton, de holnap utánna nézek.

Köszönöm mindenkinek az eddigi válaszait!!