RKhunter warning / perl

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Thorleif
Beiträge: 21
Registriert: 09.09.2012 07:43:28

RKhunter warning / perl

Beitrag von Thorleif » 22.12.2012 23:19:01

Hallo!

Nach meinem Urlaub habe ich grade per apt-get updates und apt-get upgrades
mein System aktualisiert und wie gewohnt rkhunter --check laufen lassen.

Diesmal bekam ich aber zum ersten mal eine Warnung bei /user/bin/perl
Hier mal der Auszug aus der Rkhunter logfile :

[23:14:04] /usr/bin/perl [ Warning ]
[23:14:04] Warning: The file properties have changed:
[23:14:04] File: /usr/bin/perl
[23:14:04] Current hash: 13e50d52280d120bf8c71c7eaf4e7431c9afa392
[23:14:04] Stored hash : f62bbb9e85d386d16f97ea0f3e8afaaf36a36696
[23:14:05] Current inode: 917682 Stored inode: 919085
[23:14:05] Current file modification time: 1355246023 (11-Dec-2012 18:13:43)
[23:14:05] Stored file modification time : 1324459850 (21-Dec-2011 10:30:50)

Das sagt mir ja jetzt, dass Dateien am 11.12 verändert wurden und auch der hash nichtmehr übereinstimmt.
Wie kann ich jetzt kontrollieren ob alles noch seine Richtigkeit hat und ich nicht gehackt wurde ?

All die anderen logfiles sehen soweit eigentlich gut aus.
Zuletzt geändert von Thorleif am 23.12.2012 11:28:55, insgesamt 2-mal geändert.

lemak
Beiträge: 1213
Registriert: 09.11.2007 13:25:57
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: RKhunter warning / pearl

Beitrag von lemak » 23.12.2012 01:08:45

Am Tue, 11 Dec 2012 14:07:34 +0000 gab es ein update (5.10.1-17squeeze4). Kann es das sein?
Thorleif hat geschrieben: Wie kann ich jetzt kontrollieren ob alles noch seine Richtigkeit hat und ich nicht gehackt wurde ?
Die MD5-Summe vergleichen.

Für Debianperl-base Version 5.10.1-17squeeze4:
  • amd64: f3c40bd0f099d744718a4cbbb2293b2c usr/bin/perl
  • i386: b0c7b9c874861e902e593685b879ea0d usr/bin/perl
Wenn man seinem System noch vertraut, sollte man das mit "debsums perl-base" gegen prüfen können. Aus dem gleichnamigem Paket Debiandebsums. Aber so fit bin ich damit nicht.
Zuletzt geändert von lemak am 23.12.2012 13:35:58, insgesamt 14-mal geändert.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: RKhunter warning / pearl

Beitrag von Cae » 23.12.2012 01:37:57

Thorleif hat geschrieben:Das sagt mir ja jetzt, dass Dateien am 11.12 verändert wurden und auch der hash nichtmehr übereinstimmt.
Genau lesen:
Thorleif hat geschrieben:

Code: Alles auswählen

[23:14:05]          Current file modification time: 1355246023 (11-Dec-2012 18:13:43)
[23:14:05]          Stored file modification time : 1324459850 (21-Dec-2011 10:30:50)
current time steht auf 2012-12-11, d.h. der Zeitpunkt der aktuellen Datei. Der gespeicherterte ("stored") Zeitstempel, der nicht mehr gueltig ist, stammt von 2011-12-21. Das bedeutet, dass die Datei im Dezember '11 angelegt/aufgenommen wurde und 2012 veraendert.

Wie schon beschrieben, Pruefsummen vergleichen; Changelog angucken; /var/log/apt/history.log zu Rate ziehen. Wenn du dir sicher bist, dass die Aenderung legitim ist, kannst du den aktuellen Stand einchecken mit

Code: Alles auswählen

# rkhunter --propupd
und anschliessend noch ein rkhunter -c --sk zur Kontrolle hinter schicken. --sk verhindert dieses nervige "press any key" nach jedem Abschnitt (man guckt eh' auf den Rueckgabewert und bei Misserfolg in's Log).

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Thorleif
Beiträge: 21
Registriert: 09.09.2012 07:43:28

Re: RKhunter warning / perl

Beitrag von Thorleif » 23.12.2012 11:40:26

Danke für eure Antworten!


Ich habe jetzt per Befehl md5sum /usr/bin/perl folgende Ausgabe erhalten:
´
"md5sum /usr/bin/perl
f3c40bd0f099d744718a4cbbb2293b2c /usr/bin/perl"

UP hat in seinem post ja folgenden hash genannt : amd64: f3c40bd0f099d744718a4cbbb2293b2c usr/bin/perl.

Der Wert aus UP's Post sowie der Wert welcher mir von meinem System ausgegeben wird stimmen überein.Das bedeutet für mich jetzt das die Warnung aus einem Update resultiert, richtig ?

lemak
Beiträge: 1213
Registriert: 09.11.2007 13:25:57
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: RKhunter warning / perl

Beitrag von lemak » 23.12.2012 12:17:00

Thorleif hat geschrieben: Ich habe jetzt per Befehl md5sum /usr/bin/perl folgende Ausgabe erhalten:
"md5sum /usr/bin/perl
f3c40bd0f099d744718a4cbbb2293b2c /usr/bin/perl"
Ganz naiv denke ich, dass du um sicher zugehen, die Datei auch per "scp" auf ein vertrauenswürdiges System kopieren und dort die Prüfsumme prüfen könntest.

Denke aber dass der Grund ja nun bekannt und alles okay ist, solange die anderen Parameter im Normal sind.

Ed: An die Prüfsummen kommst du übrigens mit "apt-get download" od. von packages.debian.org kopieren und dann mit "dpkg -x DATEINAME.deb /tmp" od. "file-roller" o.ä. das Paket entpacken und in DEBIAN/md5sums stehen die dann.
Oder einfach "grep usr/bin/perl /var/lib/dpkg/info/*.md5sums" (Optimal auf einem anderen System)
Zuletzt geändert von lemak am 23.12.2012 20:09:16, insgesamt 1-mal geändert.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: RKhunter warning / perl

Beitrag von Cae » 23.12.2012 18:30:52

Man sollte bezueglich der Pruefsummen weder packages.debian.org glauben (kein HTTPS, kann gefaelscht sein), noch dem, was ein Unbekannter wie up oder ich behauptet.

Einzig die *.md5sums aus /var/lib/dpkg/ oder die md5sums aus dem entpackten, ueber die Paketverwaltung geladenen Paket sind zuverlaessig. Nur bei ihnen ist die Integritaet durch weitere Pruefsummen und GPG-Signaturen gesichert. Darauf baut auch der debsums-Check auf, ihn kann man ebenfalls verwenden.

Optimalerweise kontrolliert man mit einem nicht von diesem System stammenden md5sum-Programm (d.h. man fliegt entweder die Binary ein, oder besser: die zu pruefende Datei aus (wie up schon erwaehnte)) und unabhaengigen Pruefsummen.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

lemak
Beiträge: 1213
Registriert: 09.11.2007 13:25:57
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: RKhunter warning / perl

Beitrag von lemak » 23.12.2012 18:57:08

Cae hat geschrieben:... Darauf baut auch der debsums-Check auf, ihn kann man ebenfalls verwenden.
Wie ich finde eben nicht.
http://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html#s-check-integ hat geschrieben: Prüfung der Integrität des Dateisystems [...] debsums [...] Seien Sie aber gewarnt, dass diese Dateien sehr leicht von einem Angreifer geändert werden können.
Es muss nur (lokal unter /var/lib/dpkg/*.debsums) eine gültige zur modifizierten Datei passende MD5-Summe hinterlegt werden und die Datei wird als gültig/passend erkannt...
Nur wird das gemeine Root-Kit dort vielleicht nicht die Prüfsummen od. debsums anpassen. (Hier greift dann die Anweisung: Betreiben Sie einen Honeypot und/oder studieren Sie die Arbeitsweise bekannte Root-Kits).

Aber sonst hast du recht, es gelten nur die Summen aus den Paketen. Solange diese eine gültige Unterschrift besitzen.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: RKhunter warning / perl

Beitrag von Animefreak79 » 06.05.2018 22:51:42

Ich habe gerade haargenau dasselbe Problem, was mich ein bisschen paranoid macht. O_o

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ grep usr/bin/perl /var/lib/dpkg/info/*.md5sums
/var/lib/dpkg/info/libperl5.24:amd64.md5sums:ed090a83185bf489c3ba290895a3da61  usr/bin/perl5.24-x86_64-linux-gnu
/var/lib/dpkg/info/perl-base.md5sums:cb50223483516e545d497f2c993679f3  usr/bin/perl
/var/lib/dpkg/info/perl-base.md5sums:cb50223483516e545d497f2c993679f3  usr/bin/perl5.24.1
/var/lib/dpkg/info/perl.md5sums:30048c88ce158eab2074a136588b1cd1  usr/bin/perlbug
/var/lib/dpkg/info/perl.md5sums:878b3670b343e75e2452ef0b88640656  usr/bin/perldoc
/var/lib/dpkg/info/perl.md5sums:06b1b10981b30b3d766488caa0f2b37c  usr/bin/perlivp
/var/lib/dpkg/info/perl.md5sums:30048c88ce158eab2074a136588b1cd1  usr/bin/perlthanks
shinji@nerv-kommandozentrale:~$
Wieso steht aber auf https://packages.debian.org/stretch/am ... e/download folgendes:

Code: Alles auswählen

Genaue Größe	1344270 Byte (1,3 MByte)
MD5-Prüfsumme	83b4743fdf24a2f0dc3c6568816320f4
SHA1-Prüfsumme	73516fad2e755425e37e6420a5ae30f1f9713f9c
SHA256-Prüfsumme	9fd9bd0ec725c58de1fc4c625e72cbfbbd723b69094b52cd754364a14dcd5fbd
Öhm... Wie ich das sehe, stimmen die Prüfsummen nicht überein. Die Warnung in der Datei rkhunter.log sieht wie folgt aus:

Code: Alles auswählen

[21:44:25]   /usr/bin/perl                                   [ Warning ]
[21:44:25] Warning: The file properties have changed:
[21:44:25]          File: /usr/bin/perl
[21:44:25]          Current hash: dd98678acf222356110cea289a20f29876ba6f68041788243cb4b5b49fce9a1d
[21:44:25]          Stored hash : f9309bbcfb057fce2ea92ab9e56ac4631784120e6840e4bb2a7d8d789763beeb
[21:44:25]          Current inode: 915798    Stored inode: 916309
[21:44:25]          Current size: 2021960    Stored size: 2017864
[21:44:25]          Current file modification time: 1520707189 (10-Mär-2018 19:39:49)
[21:44:25]          Stored file modification time : 1505234246 (12-Sep-2017 18:37:26)
Am 10 März gab es lediglich dieses Update:
https://www.debian.org/security/2018/dsa-4134
Irgendwie bin ich da jetzt besorgt... Oder handelt es sich bloß um einen Fehlalarm?
~ Never change a flying system ~

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: RKhunter warning / perl

Beitrag von tobo » 07.05.2018 00:36:51

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
06.05.2018 22:51:42
Irgendwie bin ich da jetzt besorgt... Oder handelt es sich bloß um einen Fehlalarm?
Fehlalarm (ziemlich sicher), weil die rkhunter Datei-Datenbank nach dem Perl-Update nicht aktualisiert wurde. Könnnte man nach Paket-Updates (wie darüber schon erwähnt) immer händisch machen mit:

Code: Alles auswählen

# rkhunter --propupd
Das kannst du jetzt auch einmal machen und danach rufst du

Code: Alles auswählen

# dpkg-reconfigure rkhunter
auf und gibst der 3. Nachfrage auch ein "Yes". Dann passiert das in der Folge automatisch bei Paket-Updates.

Was die Logik angeht: der obere Block zeigt md5-hashes deiner lokalen usr/bin/perl*-Dateien, der mittlere Block zeigt verschiedene Hashes des Debian-Paketes perl-base und der untere Block, den alten und neuen sha256-hash von /usr/bin/perl. Da kann also sowieso nichts übereinstimmen!?

Die Werte (exemplarisch: /usr/bin/perl) sind bei mir identisch:

Code: Alles auswählen

$ md5sum /usr/bin/perl
cb50223483516e545d497f2c993679f3  /usr/bin/perl
$ sha256sum /usr/bin/perl
dd98678acf222356110cea289a20f29876ba6f68041788243cb4b5b49fce9a1d  /usr/bin/perl

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: RKhunter warning / perl

Beitrag von Animefreak79 » 07.05.2018 22:09:42

tobo hat geschrieben:Was die Logik angeht: der obere Block zeigt md5-hashes deiner lokalen usr/bin/perl*-Dateien, der mittlere Block zeigt verschiedene Hashes des Debian-Paketes perl-base und der untere Block, den alten und neuen sha256-hash von /usr/bin/perl. Da kann also sowieso nichts übereinstimmen!?
Sry, das hat mich wohl verwirrt. Und ich hab schon wer weiß was gedacht. Heißt also, dass ich jedes Mal, wenn kritische Sachen wie eine Skriptsprache wie Debianperl ein Update erfahren, müsste ich bei Debianrkhunter jedes Mal im Anschluss meine Datenbank neu einlesen, damit es nicht zu weiteren Fehlalarmen kommt. Meinen aufrichtigen Dank.^^
~ Never change a flying system ~

Antworten