Maldet Fehlermeldung

[hume]

Guten Tag,

kann mir jemand sagen, was es mit der Fehlermeldung auf sich hat?
Habe bereits danach gesucht, aber nichts passendes dazu gefunden.

Meldung:

/etc/cron.daily/maldet:
/etc/cron.daily/maldet: line 56: n: command not found
/etc/cron.daily/maldet: line 59: syntax error near unexpected token `fi'
/etc/cron.daily/maldet: line 59: `fi'
run-parts: /etc/cron.daily/maldet exited with return code 2

[gbotti]

Hi.

Was ist denn maldet und was steht in der Datei /etc/cron.daily/maldet drin?

Kannst du eventuell den Inhalt hier per NoPaste verlinken?

[hume]

http://nopaste.debianforum.de/39827

[TRex]

Öhm... Zweitaccount? Oder extremer Zufall? viewtopic.php?f=37&t=165330

[hume]

Öhm... Zweitaccount? Oder extremer Zufall? viewtopic.php?f=37&t=165330

Nein, kein Zweitaccount, kannst gerne im System nachschauen (E-Mail etc.)
Was hat nun diese Meldung zu bedeuten? Update fehlgeschlagen etc.?

Nachtrag:

Kann dies auch sein, dass der Updateserver nicht erreichbar war?

[mat6937]

Was hat nun diese Meldung zu bedeuten? Update fehlgeschlagen etc.?

Evtl. war das Script zu diesem Zeitpunkt, fehlerhaft oder noch nicht vollständig.

Kannst Du jetzt das Script manuell ausführen, ohne diese Fehlermeldung zu bekommen?

[hume]

Was hat nun diese Meldung zu bedeuten? Update fehlgeschlagen etc.?

Evtl. war das Script zu diesem Zeitpunkt, fehlerhaft oder noch nicht vollständig.

Kannst Du jetzt das Script manuell ausführen, ohne diese Fehlermeldung zu bekommen?

Ich habe es nun über Shell ausgeführt und erhalte keine Rückmeldung (Shell) heißt dass es ist erledigt?
Wenn es fehlerhaft wäre, müsste ich dann eine Fehlermeldung über Shell bekommen?

Zweimal ausgeführt über Pfad:
/etc/cron.daily/maldet
und
bash /etc/cron.daily/maldet

Leere Rückmeldung von Shell.

[TRex]

Gabs da kürzlich ein update? In debian scheint es ja nicht enthalten zu sein. Schon merkwürdig, dass es zwei Leute parallel erwischt.

[hume]

Gabs da kürzlich ein update? In debian scheint es ja nicht enthalten zu sein. Schon merkwürdig, dass es zwei Leute parallel erwischt.

Auf was bezogen? Maldet?

Wir haben Ubuntu 14.04.5 LTS.

Verlauf:

maldet(5805): {update} checking for available updates...
maldet(5805): {update} hashing install files and checking against server...
maldet(5805): {update} latest version already installed.

maldet(5929): {sigup} performing signature update check...
maldet(5929): {sigup} local signature set is version 2017051530038
maldet(5929): {sigup} latest signature set already installed

Version 1.6.1

Siehe: https://github.com/rfxn/linux-malware-detect/releases

[mat6937]

Zweimal ausgeführt über Pfad:
/etc/cron.daily/maldet
und
bash /etc/cron.daily/maldet

Leere Rückmeldung von Shell.

Du kannst das Script auch mit der "-x"-Option, manuell im "debug mode" ausführen. Z. B.:

Code: Alles auswählen

bash -x /etc/cron.daily/maldet

EDIT:

BTW: Es geht ja nicht nur um die Zeile mit "fi", sondern auch um die Fehlermeldung:

Code: Alles auswählen

/etc/cron.daily/maldet: line 56: n: command not found

D. h. für mich, dass (vor der Änderung bzw. während der Ausführung) die Zeile 56 des Scriptes, anders ausgesehen hat als jetzt (... evtl. kein Zeilemumbrich, oder eine Leerstelle bzw. tab an der "falschen" Stelle).

[hume]

Zweimal ausgeführt über Pfad:
/etc/cron.daily/maldet
und
bash /etc/cron.daily/maldet

Leere Rückmeldung von Shell.

Du kannst das Script auch mit der "-x"-Option, manuell im "debug mode" ausführen. Z. B.:

Code: Alles auswählen

bash -x /etc/cron.daily/maldet

Link: http://nopaste.debianforum.de/39828 (habe from Maldet und E-Mail Adresse entfernt)

[mat6937]

Link: http://nopaste.debianforum.de/39828 (habe from Maldet und E-Mail Adresse entfernt)

BTW: Deine Ausgabe endet anscheinend mit der Zeile 53 des Scriptes:

Code: Alles auswählen

sleep $(echo $RANDOM | cut -c1-3) >> /dev/null 2>&1

... in der Ausgabe (Zeile 241):

Code: Alles auswählen

+ sleep 149

[hume]

Link: http://nopaste.debianforum.de/39828 (habe from Maldet und E-Mail Adresse entfernt)

BTW: Deine Ausgabe endet anscheinend mit der Zeile 53 des Scriptes:

Code: Alles auswählen

sleep $(echo $RANDOM | cut -c1-3) >> /dev/null 2>&1

... in der Ausgabe (Zeile 241):

Code: Alles auswählen

+ sleep 149

Ok, was möchtest du mir damit sagen?

Nach der Config. File ist folgendes eingetragen Pfad (/usr/local/maldetect/conf.maldet) :

# The sleep time in seconds between monitor runs to scan files
# that have been created/modified/moved
inotify_sleep="30"

[mat6937]

Ok, was möchtest du mir damit sagen?

Dass dein Link (z. Zt.) evtl. nicht die vollständige Ausgabe von "bash -x /etc/cron.daily/maldet", beinhaltet.

[hume]

Ok, was möchtest du mir damit sagen?

Dass dein Link (z. Zt.) evtl. nicht die vollständige Ausgabe von "bash -x /etc/cron.daily/maldet", beinhaltet.

OK, dass heißt im Endeffekt dass man es so derzeit stehen lassen muss.

[TRex]

Ich übersetze mal:

bitte füge den vollständigen Output bei oder erkläre uns, dass das das Ende der Ausgabe war.

[hume]

Ich übersetze mal:

bitte füge den vollständigen Output bei oder erkläre uns, dass das das Ende der Ausgabe war.

Ja, dass war alles.

[halo44]

Inzwischen habe ich mir die Zeit genommen um die /usr/local/maldetect/logs anzusehen.

Das event_log:

Code: Alles auswählen

Mai 29 10:22:18 dt-debian maldet(6910): {sigup} performing signature update check...
Mai 29 10:22:18 dt-debian maldet(6910): {sigup} local signature set is version 2017051530038
Mai 29 10:22:18 dt-debian maldet(6910): {sigup} downloaded https://cdn.rfxn.com/downloads/maldet.sigs.ver
Mai 29 10:22:18 dt-debian maldet(6910): {sigup} latest signature set already installed
Mai 29 10:22:18 dt-debian maldet(6482): {update} completed update v1.6  => v1.6.1 7c818d, running signature updates...
Mai 29 10:22:18 dt-debian maldet(7031): {sigup} performing signature update check...
Mai 29 10:22:18 dt-debian maldet(7031): {sigup} local signature set is version 2017051530038
Mai 29 10:22:18 dt-debian maldet(7003): {mon} could not find any suitable user home paths
Mai 29 10:22:19 dt-debian maldet(7003): {mon} could not find any suitable user home paths
Mai 29 10:22:19 dt-debian maldet(7003): {mon} added /dev/shm to inotify monitoring array
Mai 29 10:22:19 dt-debian maldet(7003): {mon} added /var/tmp to inotify monitoring array
Mai 29 10:22:19 dt-debian maldet(7003): {mon} added /tmp to inotify monitoring array
Mai 29 10:22:19 dt-debian maldet(7003): {mon} starting inotify process on 3 paths, this might take awhile...
Mai 29 10:22:19 dt-debian maldet(7031): {sigup} downloaded https://cdn.rfxn.com/downloads/maldet.sigs.ver
Mai 29 10:22:19 dt-debian maldet(7031): {sigup} latest signature set already installed
Mai 29 10:22:19 dt-debian maldet(6482): {update} update and config import completed
Mai 29 10:22:19 dt-debian maldet(7637): {update} checking for available updates...
Mai 29 10:22:19 dt-debian maldet(7637): {update} downloaded https://cdn.rfxn.com/downloads/maldet.current.ver
Mai 29 10:22:19 dt-debian maldet(7637): {update} hashing install files and checking against server...
Mai 29 10:22:19 dt-debian maldet(7637): {update} downloaded https://cdn.rfxn.com/downloads/maldet.current.hash
Mai 29 10:22:19 dt-debian maldet(7637): {update} latest version already installed.
Mai 29 10:22:21 dt-debian maldet(7003): {mon} inotify startup successful (pid: 7606)
Mai 29 10:22:21 dt-debian maldet(7003): {mon} inotify monitoring log: /usr/local/maldetect/logs/inotify_log
Mai 29 10:25:01 dt-debian maldet(7809): {glob} created public scanning paths for user www-data
Mai 29 10:25:01 dt-debian maldet(7809): {glob} created public scanning paths for user backup
usw. usw.
bis user clamav

Das inotify_log:

Code: Alles auswählen

Setting up watches.  Beware: since -r was given, this may take a while!
Watches established.
/tmp/fileClzmrX MODIFY 29 May 10:22:19
/tmp/fileClzmrX MODIFY 29 May 10:22:19
/tmp/fileClzmrX MODIFY 29 May 10:22:19
/tmp/fileClzmrX MODIFY 29 May 10:22:19

Offensichtlich fand heute um 10:22 Uhr ein Update von Version 1.6 auf 1.6.1 statt. Die Mail wurde auch um 10:22 Uhr an root abgesetzt.

Ich vermute, daß das "alte" Skript einen Fehler enthielt, der in der neuen Version behoben ist. Daher sagt auch der jetztige Zustand des Skripts nichts über den Fehler mehr aus.

Vermutlich ist alles Ordnung?

Gruss H.

[TRex]

Habs: https://github.com/rfxn/linux-malware-detect/issues/164

Scheinbar aktualisiert sich das Script im laufenden Betrieb selbst, was zu solchen Problemen führen kann. Ihr könnte euch ja da mal anhängen.

[breakthewall]

Zu dem geposteten Shellscript gibt es nur noch eines zu sagen: Nämlich den Entwickler unmittelbar zu meiden.

Darin stecken so viele gravierende Fehler, was Ich in 100 Jahren nicht mit Rootrechten ausführen würde. Entweder man weiß was man da tut oder nicht, aber so etwas abzuliefern für andere disqualifiziert. Und zu allem Übel wird der Käse noch zur Laufzeit verändert.

[halo44]

Habs: https://github.com/rfxn/linux-malware-detect/issues/164

Scheinbar aktualisiert sich das Script im laufenden Betrieb selbst, was zu solchen Problemen führen kann. Ihr könnte euch ja da mal anhängen.

Danke für den Link. Hab mich per comment dran gehängt.

Gruss H.

[hume]

Zu dem geposteten Shellscript gibt es nur noch eines zu sagen: Nämlich den Entwickler unmittelbar zu meiden.

Darin stecken so viele gravierende Fehler, was Ich in 100 Jahren nicht mit Rootrechten ausführen würde. Entweder man weiß was man da tut oder nicht, aber so etwas abzuliefern für andere disqualifiziert. Und zu allem Übel wird der Käse noch zur Laufzeit verändert.

Sollte man so etwas dann überhaupt noch nutzen?
Wenn der Server Spam sendet merkt man dass sowieso oder nicht?
Spätestens bei der Blacklist

[whisper]

Sollte man so etwas dann überhaupt noch nutzen?
Wenn der Server Spam sendet merkt man dass sowieso oder nicht?
Spätestens bei der Blacklist

Das tool hat mir schon des öfteren eine malware gemeldet, die gerade installiert war und noch nicht bzw. gerade anfing sich bemerkbar zu machen.

[hume]

Habs: https://github.com/rfxn/linux-malware-detect/issues/164

Scheinbar aktualisiert sich das Script im laufenden Betrieb selbst, was zu solchen Problemen führen kann. Ihr könnte euch ja da mal anhängen.

Danke für den Link. Hab mich per comment dran gehängt.

Gruss H.

Habe ich auch.

Sollte man so etwas dann überhaupt noch nutzen?
Wenn der Server Spam sendet merkt man dass sowieso oder nicht?
Spätestens bei der Blacklist

Das tool hat mir schon des öfteren eine malware gemeldet, die gerade installiert war und noch nicht bzw. gerade anfing sich bemerkbar zu machen.

Denn Fall hatte ich noch nie, aber gut zu wissen

[whisper]

Wie ich an anderer Stelle bereits berichtete, sind bis auf einen Vorfall alle (10?) Vorfälle im Joomla Bereich gewesen.
Ich habe das gefühl, dass es seit der Joomla Einführung automatischer Updates und meine Politik des Verbotes von inoffiziellen Plugins besser geworden ist, aber ich will es nicht beschreien.
Das liegt auch daran, dass auf unserem Server vieeel mehr Joomla Installationen sind als andere CMS wie z.B. Serendipity, Wordpress und so