Debian Buster: rkhunter false positives?

[rwkraemer]

Hallo,

ich habe auf einem Fujitsu Lifebook S762 einen Durchlauf mit rkhunter gemacht. Vorher habe ich "rkhunter --update" und "rkhunter --propupd" durchgeführt, nach dem ich die /etc/rkhunter.conf angepasst habe, da sonst die Update-Funktion nicht funktioniert. Verändert habe ich in der rkhunter.conf WEB_CMD (auskommentiert) mirrors-update, Sprache und Paketmanager. Auch habe ich alle Tests auf "enable" gesetzt. Nun habe ich jede Menge Meldungen:

Code: Alles auswählen

[19:05:58] Warnung: Das Kommando '/usr/bin/egrep' wurde durch ein Skript ersetzt: /usr/bin/egrep: POSIX shell script, ASCII text execu$
[19:05:58]   /usr/bin/env                                    [ OK ]
[19:05:58]   /usr/bin/fgrep                                  [ Warnung ]
[19:05:58] Warnung: Das Kommando '/usr/bin/fgrep' wurde durch ein Skript ersetzt: /usr/bin/fgrep: POSIX shell script, ASCII text execu$

[19:06:14] Warnung: Das Kommando '/usr/bin/which' wurde durch ein Skript ersetzt: /usr/bin/which: POSIX shell script, ASCII text execu$

[19:07:08] Information: Beginne mit dem Test 'deleted_files'
[19:07:08]   Überprüfe laufende Prozesse auf gelöschte Dateien [ Warnung ]
[19:07:08] Warnung: Die folgenden Prozesse nutzen gelöschte Dateien:
[19:07:09]          Prozess: /usr/bin/pulseaudio    PID: 1252    Datei: /memfd:pulseaudio

[19:07:36] Information: Beginne mit dem Test 'ipc_shared_mem'
[19:07:36] Information: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
[19:07:36]   Checking for suspicious (large) shared memory segments [ Warnung ]
[19:07:36] Warnung: The following suspicious (large) shared memory segments have been found:
[19:07:36]          Process: /usr/bin/xfce4-terminal    PID: 2600    Owner: rainer    Size: 16MB (configured size allowed: 1,0MB)

[19:07:43] Information: Beginne mit dem Test 'packet_cap_apps'
[19:07:43]   Überprüfe auf Anwendungen, die Pakete abfangen [ Warnung ]
[19:07:43] Warnung: Prozess '/usr/sbin/dhclient' (PID 2531) ist in offen in das Netzwerk.

[19:07:45] Information: Beginne mit dem Test 'passwd_changes'
[19:07:45]   Checking for passwd file changes                [ Warnung ]
[19:07:45] Warnung: Benutzer 'hplip' wurde der passwd-Datei hinzugefügt.

[19:07:53] Dateieigenschaften-Überprüfung...
[19:07:53] Dateien überprüft: 142
[19:07:53] Verdächtige Dateien: 3
[19:07:53]
[19:07:53] Rootkit-Überprüfungen...
[19:07:53] Rootkits überprüft : 481
[19:07:53] Mögliche Rootkits: 2
[19:07:53]
[19:07:53] Anwendungs-Überprüfungen...
[19:07:53] Anwendungen überprüft: 3
[19:07:53] Verdächtige Anwendungen: 0

Sind das alles false positives? Ich habe vor ein paar Tagen Debian Buster frisch installiert, also noch vor dem Release.

Edit: Ich habe einen XFCE-Desktop, der Laptop hat einen Intel Dualcore i5 und eine Intelgrafik. Ich bin mit LAN-Kabel mit einer Fritzbox verbunden.

[rwkraemer]

Ich habe ein wenig gegoogelt, und zumindest die Meldung über "dhclient" scheint ein Fall von "false positive" zu sein, der gelegentlich vorkommen kann. Ich habe die Prozedur des "verifizierens" der ISO durchgeführt, also kann sich eigentlich keine Maleware eingeschlichen haben, da die 2 Systeme erst 2 Wochen alt sind.

[uname]

grep und fgrep sind eigentlich unterhalb von /bin siehe grep
which ist eigentlich unterhalb von /bin siehe debianutils
Vielleicht liegt es daran. Sind /bin/grep und /usr/bin/grep usw. identisch oder Links aufeinander?

Probiere doch mal eine Software wie debsums aus. Welche Dateien werden dort nicht mit "OK" ausgegeben?

[MSfree]

grep und fgrep sind eigentlich unterhalb von /bin siehe grep
which ist eigentlich unterhalb von /bin siehe debianutils
Vielleicht liegt es daran. Sind /bin/grep und /usr/bin/grep usw. identisch oder Links aufeinander?

Die ehemals eigenständigen Programme egrep und fgrep sind schon vor dreieinhalb Ewigkeiten im Program grep aufgegangen. Zwecks Rückwärtskompatibilität gibt es für ewig gestrige aber noch die Befehle fgrep und egrep in Form von Skripten:

Code: Alles auswählen

# cat /bin/fgrep 
#!/bin/sh
exec grep -F "$@"

Code: Alles auswählen

# cat /bin/egrep 
#!/bin/sh
exec grep -E "$@"

Auch which war mal ein eigenständiges Executable, das inzwischen nur noch als Skript existiert.

Der Hinweis, daß es ein verdächtig großes shared Memory Segment gibt, zeigt nur, daß ein Programm namens /usr/bin/xfce4-terminal ein solches benutzt. Stutzig machen sollte das nur, wenn gerade gar kein xfce4-terminal laufen würde. Aber das ist wohl nur das Terminal, in dem rkhunter selbst läuft *Aua*

Und auch dhclient ist ein völlig normaler Prozeß, der nur dann stutzig machen sollte, wenn man das Netzwerk mit statischen IP-Adressen konfiguriert hat.

Alles in allem sollte man die Warnungen einfach mal lesen, und bei angemahnten Skripten einfach mal da reinschauen, Skripte beißen nämlich nicht, sind ASCII und lassen sich mit cat ganz einfach auf den Konsole ausgeben. Mit anderen Worten, alles Panikmache, rkhunter scheint inzwischen auch ein wenig in die Jahre gekommen zu sein und nörgelt Dinge an, die heutzutage bei jedem Linux normal sind.

[RobertS]

scripte kann man ansehen, der Inhalt erklärt dann vieles.
Daß dhclient offen ins Netzwerk ist liegt wohl in der Natur von dhclient.

grep und fgrep sind eigentlich unterhalb von /bin siehe grep
which ist eigentlich unterhalb von /bin siehe debianutils
Vielleicht liegt es daran. Sind /bin/grep und /usr/bin/grep usw. identisch oder Links aufeinander?

usrmerge nicht mitbekommen? /bin /sbin /lib und ein paar andere Verzeichnisse sind nur noch Links die aus historischen Gründen mitgeschleppt werden.

[uname]

usrmerge nicht mitbekommen?

Hatte ich auch dran gedacht.
Aber warum wurde /usr/bin und nicht /usr angemeckert?
Laut Dateilisten in https://packages.debian.org war es aber schon immer /bin und nicht /usr/bin . Komisch.

Poste

Code: Alles auswählen

ls -l /usr/bin/fgrep
cat /usr/bin/fgrep

[RobertS]

Laut Dateilisten in https://packages.debian.org war es aber schon immer /bin und nicht /usr/bin . Komisch.

Es war einmal, mittlerweile schreiben wir 2019 und reden von Buster.

[uname]

Es war einmal, mittlerweile schreiben wir 2019 und reden von Buster.

Meine ich doch. War immer schon /bin und ist auch bei Buster noch so:

https://packages.debian.org/jessie/amd64/grep/filelist
https://packages.debian.org/stretch/amd64/grep/filelist
https://packages.debian.org/buster/amd64/grep/filelist

[RobertS]

Interessant, eigentlich sollte /bin /sbin und ähnliches nur noch als Link existieren. Entweder passt da die Doku nicht oder Debian hat mal wieder was verbockt.

[rwkraemer]

Danke für die Antworten. Da bin ich ja einigermaßen beruhigt. Gibt es eine Aussicht, dass in Buster irgendwann eine aktualisierte Version von rkhunter aufgenommen wird?

[novalix]

Shameless Selfplug