Stretch: Hat rkhunter einen Bug?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
BongoFury
Beiträge: 194
Registriert: 23.02.2007 17:47:51
Lizenz eigener Beiträge: GNU General Public License

Stretch: Hat rkhunter einen Bug?

Beitrag von BongoFury » 24.07.2017 15:25:17

Hallo,
ich habe Probleme mit dem rkhunter Update:

Code: Alles auswählen

root@schnabeltasse:/#rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
Ich habe diesen Pfad dann in rkhunter.conf auskommentiert,
# WEB_CMD="/bin/false"
darauf hin kam das:

Code: Alles auswählen

root@schnabeltasse:~# rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Skipped ]
  Checking file programs_bad.dat                             [ Update failed ]
  Checking file backdoorports.dat                            [ Update failed ]
  Checking file suspscan.dat                                 [ Update failed ]
  Checking file i18n versions                                [ Update failed ]

Please check the log file (/var/log/rkhunter.log)
Gut, schon besser, habe ich also gemacht:

Code: Alles auswählen

[14:40:21] Checking rkhunter data files...
[14:40:21] Info: Created temporary file '/var/lib/rkhunter/tmp/rkhunter.upd.FjlSsvTIhA'
[14:40:21] Checking file mirrors.dat                         [ Skipped ]
[14:40:21] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:21] Warning: Download of 'programs_bad.dat' failed: Unable to determine the latest version number.
[14:40:21] Checking file programs_bad.dat                    [ Update failed ]
[14:40:21] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:21] Warning: Download of 'backdoorports.dat' failed: Unable to determine the latest version number.
[14:40:21] Checking file backdoorports.dat                   [ Update failed ]
[14:40:22] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:22] Warning: Download of 'suspscan.dat' failed: Unable to determine the latest version number.
[14:40:22] Checking file suspscan.dat                        [ Update failed ]
[14:40:22] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:22] Checking file i18n versions                       [ Update failed ]
[14:40:22] Warning: Download of 'i18n.ver' failed: Unable to determine the latest version number.
[14:40:22]
Nun... meinem Verständnis nach findet rkhunter wohl keine Updates bzw. keine Spiegelserver die updates haben könnten. Anyway.... ich habe mir erst mal die neueste version von rkhunter handish runter geladen und installiert (https://sourceforge.net/projects/rkhunter/files/). Der Befehl --update brachte die gleiche, oben genannte Ausgabe:

Code: Alles auswählen

root@schnabeltasse:/# rkhunter --update
[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Skipped ]
  Checking file programs_bad.dat                             [ Update failed ]
  Checking file backdoorports.dat                            [ Update failed ]
  Checking file suspscan.dat                                 [ Update failed ]
  Checking file i18n versions                                [ Update failed ]

Please check the log file (/var/log/rkhunter.log)
... aber rkhunter -c hat nun funktioniert... wohl auch mit aktuellen Virenmustern. Und darum ging es ja.

Dennoch.. Logfile checken:

Code: Alles auswählen

[15:29:41] Checking rkhunter data files...
[15:29:41] Info: Created temporary file '/var/lib/rkhunter/tmp/rkhunter.upd.jMy6pw5uix'
[15:29:41] Checking file mirrors.dat                         [ Skipped ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Warning: Download of 'programs_bad.dat' failed: Unable to determine the latest version number.
[15:29:41] Checking file programs_bad.dat                    [ Update failed ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Warning: Download of 'backdoorports.dat' failed: Unable to determine the latest version number.
[15:29:41] Checking file backdoorports.dat                   [ Update failed ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Warning: Download of 'suspscan.dat' failed: Unable to determine the latest version number.
[15:29:41] Checking file suspscan.dat                        [ Update failed ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Checking file i18n versions                       [ Update failed ]
[15:29:41] Warning: Download of 'i18n.ver' failed: Unable to determine the latest version number.
[15:29:41]
Die Datei mirrors.dat beinhaltet das hier:

Code: Alles auswählen

Version:2007060601
mirror=http://rkhunter.sourceforge.net
mirror=http://rkhunter.sourceforge.net
Hier landet man auf einer Textseite, ob die passende Update Datei dort liegt... wer weiß.

Nun kann ich mir jetzt auch weiterhin das Update handish installieren (wenn ich davon ausgehe das in der Datei superscan.dat auch die aktuellen Virenmuster sind), aber es bleibt die Frage warum rkhunter --update bei Stretch nicht out of the box funktioniert, ob das ein Bug ist oder lediglich eine nicht funktionierende Konfigurationsdatei.

Rätselhaft... aber vielleicht kann das ja hier jemand nachvollziehen oder hat das schon geklärt.

Gruß, Bongo

Benutzeravatar
BongoFury
Beiträge: 194
Registriert: 23.02.2007 17:47:51
Lizenz eigener Beiträge: GNU General Public License

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von BongoFury » 24.07.2017 17:20:50

Ich bin inzwischen an anderer Stelle darauf hingewiesen worden das im Changelog das Problem benannt ist. Sorry das ich euch die Zeit geraubt habe, aber vielleicht stößt ja noch jemand anderes auf das Problem und findet hier des Rätsels Lösung:

Man kann die neueste rkhunter Version runterladen (https://sourceforge.net/projects/rkhunter/files/) und mit:

Code: Alles auswählen

#./installer.sh  --layout /usr --install --overwrite
installieren. So werden (VORSICHT!) die "alten" Einstellungen überschrieben und rkhunter findet auch die Updates wieder. Bei mir war das Ok weil ich keine besonderen Einstellungen für rkhunter konfiguriert hatte, wer das hat muss natürlich die neue Konfig entsprechend anpassen.

Gruß, Bongo

albundy
Beiträge: 25
Registriert: 26.08.2009 19:49:12

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von albundy » 24.07.2017 18:16:13

Hi,

du hast vermutlich bei dem Point-Release-Update die Version des Paketbetreuers installiert. Es hat in der /etc/rkhunter.conf einige (komische) Änderungen mit sich gebracht.
Du solltest dann eigentlich noch eine /etc/rkhunter.conf.dpkg-old haben. Dann nimm einfach die, das ist nämliche Deine alte Config-Datei.

Wenn nicht:
Die Änderungen zu der "alten", funktionierenden Datei waren bei mir:

diff /etc/rkhunter.conf /etc/rkhunter.conf.dpkg-old

Code: Alles auswählen

104c104
< UPDATE_MIRRORS=0
---
> #UPDATE_MIRRORS=1
119c119
< MIRRORS_MODE=1
---
> #MIRRORS_MODE=0
133d132
< #MAIL-ON-WARNING=root
207c206
< #LANGUAGE=de
---
> LANGUAGE=de
223c222
< UPDATE_LANG="en"
---
> #UPDATE_LANG=""
1112c1111
< WEB_CMD="/bin/false"
---
> #WEB_CMD=""

Benutzeravatar
Par@noid
Beiträge: 215
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von Par@noid » 25.07.2017 14:40:15

Problem gelöst:

alten Werte in /etc/rkhunter.conf geben

Code: Alles auswählen

UPDATE_MIRRORS=0 -->     UPDATE_MIRRORS=1
MIRRORS_MODE=1 -->       MIRRORS_MODE=0
WEB_CMD="/bin/false" --> WEB_CMD=""

Code: Alles auswählen

rkhunter --update
[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]


MfG Par@noid :THX:
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....



Debian GNU/Linux ..::unstable::.. (sid) 64-bit | GNOME

Antworten