Stretch: Hat rkhunter einen Bug?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
BongoFury
Beiträge: 194
Registriert: 23.02.2007 17:47:51
Lizenz eigener Beiträge: GNU General Public License

Stretch: Hat rkhunter einen Bug?

Beitrag von BongoFury » 24.07.2017 15:25:17

Hallo,
ich habe Probleme mit dem rkhunter Update:

Code: Alles auswählen

root@schnabeltasse:/#rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
Ich habe diesen Pfad dann in rkhunter.conf auskommentiert,
# WEB_CMD="/bin/false"
darauf hin kam das:

Code: Alles auswählen

root@schnabeltasse:~# rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Skipped ]
  Checking file programs_bad.dat                             [ Update failed ]
  Checking file backdoorports.dat                            [ Update failed ]
  Checking file suspscan.dat                                 [ Update failed ]
  Checking file i18n versions                                [ Update failed ]

Please check the log file (/var/log/rkhunter.log)
Gut, schon besser, habe ich also gemacht:

Code: Alles auswählen

[14:40:21] Checking rkhunter data files...
[14:40:21] Info: Created temporary file '/var/lib/rkhunter/tmp/rkhunter.upd.FjlSsvTIhA'
[14:40:21] Checking file mirrors.dat                         [ Skipped ]
[14:40:21] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:21] Warning: Download of 'programs_bad.dat' failed: Unable to determine the latest version number.
[14:40:21] Checking file programs_bad.dat                    [ Update failed ]
[14:40:21] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:21] Warning: Download of 'backdoorports.dat' failed: Unable to determine the latest version number.
[14:40:21] Checking file backdoorports.dat                   [ Update failed ]
[14:40:22] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:22] Warning: Download of 'suspscan.dat' failed: Unable to determine the latest version number.
[14:40:22] Checking file suspscan.dat                        [ Update failed ]
[14:40:22] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[14:40:22] Checking file i18n versions                       [ Update failed ]
[14:40:22] Warning: Download of 'i18n.ver' failed: Unable to determine the latest version number.
[14:40:22]
Nun... meinem Verständnis nach findet rkhunter wohl keine Updates bzw. keine Spiegelserver die updates haben könnten. Anyway.... ich habe mir erst mal die neueste version von rkhunter handish runter geladen und installiert (https://sourceforge.net/projects/rkhunter/files/). Der Befehl --update brachte die gleiche, oben genannte Ausgabe:

Code: Alles auswählen

root@schnabeltasse:/# rkhunter --update
[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Skipped ]
  Checking file programs_bad.dat                             [ Update failed ]
  Checking file backdoorports.dat                            [ Update failed ]
  Checking file suspscan.dat                                 [ Update failed ]
  Checking file i18n versions                                [ Update failed ]

Please check the log file (/var/log/rkhunter.log)
... aber rkhunter -c hat nun funktioniert... wohl auch mit aktuellen Virenmustern. Und darum ging es ja.

Dennoch.. Logfile checken:

Code: Alles auswählen

[15:29:41] Checking rkhunter data files...
[15:29:41] Info: Created temporary file '/var/lib/rkhunter/tmp/rkhunter.upd.jMy6pw5uix'
[15:29:41] Checking file mirrors.dat                         [ Skipped ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Warning: Download of 'programs_bad.dat' failed: Unable to determine the latest version number.
[15:29:41] Checking file programs_bad.dat                    [ Update failed ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Warning: Download of 'backdoorports.dat' failed: Unable to determine the latest version number.
[15:29:41] Checking file backdoorports.dat                   [ Update failed ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Warning: Download of 'suspscan.dat' failed: Unable to determine the latest version number.
[15:29:41] Checking file suspscan.dat                        [ Update failed ]
[15:29:41] Info: The mirrors file has no required mirrors in it: /var/lib/rkhunter/db/mirrors.dat
[15:29:41] Checking file i18n versions                       [ Update failed ]
[15:29:41] Warning: Download of 'i18n.ver' failed: Unable to determine the latest version number.
[15:29:41]
Die Datei mirrors.dat beinhaltet das hier:

Code: Alles auswählen

Version:2007060601
mirror=http://rkhunter.sourceforge.net
mirror=http://rkhunter.sourceforge.net
Hier landet man auf einer Textseite, ob die passende Update Datei dort liegt... wer weiß.

Nun kann ich mir jetzt auch weiterhin das Update handish installieren (wenn ich davon ausgehe das in der Datei superscan.dat auch die aktuellen Virenmuster sind), aber es bleibt die Frage warum rkhunter --update bei Stretch nicht out of the box funktioniert, ob das ein Bug ist oder lediglich eine nicht funktionierende Konfigurationsdatei.

Rätselhaft... aber vielleicht kann das ja hier jemand nachvollziehen oder hat das schon geklärt.

Gruß, Bongo

Benutzeravatar
BongoFury
Beiträge: 194
Registriert: 23.02.2007 17:47:51
Lizenz eigener Beiträge: GNU General Public License

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von BongoFury » 24.07.2017 17:20:50

Ich bin inzwischen an anderer Stelle darauf hingewiesen worden das im Changelog das Problem benannt ist. Sorry das ich euch die Zeit geraubt habe, aber vielleicht stößt ja noch jemand anderes auf das Problem und findet hier des Rätsels Lösung:

Man kann die neueste rkhunter Version runterladen (https://sourceforge.net/projects/rkhunter/files/) und mit:

Code: Alles auswählen

#./installer.sh  --layout /usr --install --overwrite
installieren. So werden (VORSICHT!) die "alten" Einstellungen überschrieben und rkhunter findet auch die Updates wieder. Bei mir war das Ok weil ich keine besonderen Einstellungen für rkhunter konfiguriert hatte, wer das hat muss natürlich die neue Konfig entsprechend anpassen.

Gruß, Bongo

albundy
Beiträge: 38
Registriert: 26.08.2009 19:49:12

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von albundy » 24.07.2017 18:16:13

Hi,

du hast vermutlich bei dem Point-Release-Update die Version des Paketbetreuers installiert. Es hat in der /etc/rkhunter.conf einige (komische) Änderungen mit sich gebracht.
Du solltest dann eigentlich noch eine /etc/rkhunter.conf.dpkg-old haben. Dann nimm einfach die, das ist nämliche Deine alte Config-Datei.

Wenn nicht:
Die Änderungen zu der "alten", funktionierenden Datei waren bei mir:

diff /etc/rkhunter.conf /etc/rkhunter.conf.dpkg-old

Code: Alles auswählen

104c104
< UPDATE_MIRRORS=0
---
> #UPDATE_MIRRORS=1
119c119
< MIRRORS_MODE=1
---
> #MIRRORS_MODE=0
133d132
< #MAIL-ON-WARNING=root
207c206
< #LANGUAGE=de
---
> LANGUAGE=de
223c222
< UPDATE_LANG="en"
---
> #UPDATE_LANG=""
1112c1111
< WEB_CMD="/bin/false"
---
> #WEB_CMD=""

Benutzeravatar
Par@noid
Beiträge: 221
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von Par@noid » 25.07.2017 14:40:15

Problem gelöst:

alten Werte in /etc/rkhunter.conf geben

Code: Alles auswählen

UPDATE_MIRRORS=0 -->     UPDATE_MIRRORS=1
MIRRORS_MODE=1 -->       MIRRORS_MODE=0
WEB_CMD="/bin/false" --> WEB_CMD=""

Code: Alles auswählen

rkhunter --update
[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja                                      [ Skipped ]


MfG Par@noid :THX:
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....

Debian GNU/Linux testing (buster) 64-bit | GNOME Version 3.30 :THX:

Chainy
Beiträge: 2
Registriert: 03.10.2018 00:34:56

Re: Stretch: Hat rkhunter einen Bug?

Beitrag von Chainy » 04.10.2018 11:49:38

Die Konfiguration berücksichtigt eine Lücke, die erst in Version 1.4.3 von rkhunter geschlossen wurde. Die Downloadfunktionen hatten bis dahin keine Prüfung auf Authentizität. Das ermöglicht potentiell die Ausführung von Code (privilege escalation) -> vgl vuldb.com. Debian reagierte deshalb mit einer geänderten Config - siehe CVE-2017-7480, die die Updatefunktion rabiat schließt.
In Version 1.4.4 wird die Lücke seitens rkhunter geschlossen (jeder darf für sich selbst überlegen, ob eine Regex-Prüfung optimal ist - auf eine Signatur wird nach wie vor verzichtet). Diese Version ist bspw. über Testing erhältlich.

Es bleiben also die Möglichkeiten:
* Das Testingpaket mit der Verbesserung von 1.4.4
* Verzicht auf die automatische Updates und Lokales Einspielen
* Oder ungeprüftes übernehmen in den Versionen <1.4.4 mit dem Risiko schlechten Code einzuschleußen.

Antworten