Comment lire un rapport journalier (Daily report) [rkhunter] [Résolu/Fermé]

Signaler
-
Messages postés
29899
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
18 juin 2021
-
Bonjour,
donc voila je suis un bleu en matiere de sécurité web mais on a tous passé par là :) !

Donc rkhunter est un outils que j'ai installé sur mon serveur linux ( ubuntu 14.10 ) et il m'envoie quotidiennement un rapport avec les possibilité de faille de sécurité.
voici le premier rapport

Warning: The file '/usr/sbin/inetd' exists on the system, but it is not present in
the 'rkhunter.dat' file.
Warning: The file '/usr/sbin/tcpd' exists on the system, but it is not present in
the 'rkhunter.dat' file.
Warning: The file '/usr/bin/GET' exists on the system, but it is not present in the
'rkhunter.dat' file.
Warning: The file '/usr/bin/lwp-request' exists on the system, but it is not present
in the 'rkhunter.dat' file.
Warning: The modules file '/proc/modules' is missing.
Warning: The kernel modules directory '/lib/modules' is missing or empty.
Warning: Network TCP port 1524 is being used by /usr/sbin/portsentry. Possible
rootkit: Possible FreeBSD (FBRK) Rootkit backdoor
Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Network TCP port 6667 is being used by /usr/sbin/portsentry. Possible
rootkit: Possible rogue IRC bot
Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Network TCP port 31337 is being used by /usr/sbin/portsentry. Possible
rootkit: Historical backdoor port
Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: /dev/.udev


J'aimerai juste savoir #commentçamarche !!

Merci

2 réponses

Messages postés
29899
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
18 juin 2021
7 125
Explication des sorties de rkhunter

En gros il dit que certains démons (inetd, tcpd...) ne peuvent pas être contrôlés (mais tournent sur ta machine) car il ne sont pas connus de rkhunter. Il faut te demander s'ils sont légitimes ou pas.

Ils ont normalement été installés via un paquet. Si tu as utilisé debian tu peux utiliser debsum pour les contrôler.
https://www.mistra.fr/tutoriel-linux-pirates-rootkit.html

Il dit ensuite que
/proc/modules
est manquant. C'est assez surprenant car normalement ce "fichier" est plutôt standard. En réalité,
/proc
correspond à une interface exposée par le noyau linux pour donner des informations à son sujet. /proc/modules indique notamment quels modules sont actuellement chargés, un module étant un morceau de noyau. Pour rappel le noyau est la couche logicielle qui fait la médiation entre le système d'exploitation et le matériel (il gère notamment le matériel, les protocoles réseaux, les systèmes de fichiers, etc...).

Ensuite un certain nombre de port plus ou moins suspects sont utilisés par portsentry, un logiciel destiné à se prémunir contre certaines attaques (scan de port, etc...). Les commandes
lsof -i
et
netstat -an
permettent de récupérer des informations sur l'activité réseau (mais ce sont également souvent les premières qui sont altérées par un rootkit). Ceci dit, si ton rkhunter est fiable et qu'il n'a pas tiqué sur ces commandes, tu peux a priori avoir confiance dans le résultat qu'elles affichent.

Enfin, rkhunter liste quelques fichiers qui semblent suspects, notamment une règle udev et un répertoire caché dans
/dev
. rkhunter t'incite à regarder ici ce qui y traîne car ces fichiers semblent suspects.

Un exemple concret

À titre indicatif j'ai lancé la commande
rkhunter -c
sur ma machine et j'ai tout au vert sauf :

  Performing system configuration file checks
Checking for an SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Not allowed ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 143
Suspect files: 0

Rootkit checks...
Rootkits checked : 379
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 1 minute and 15 seconds

All results have been written to the log file: /var/log/rkhunter.log


Comme on le voit ici il n'y a pas de rootkit ou de commande "sensible" infectée, ce qui signifie qu'a priori je "contrôle" encore à peu près ma machine :-)

J'ai quelques warnings qui correpondent à des trous potentiels de sécurité.

J'ai fixé le premier warning dans mon cas en corrigeant
/etc/ssh/sshd_config
et en relançant ssh.

Pour les deux suivants il m'a fallu plonger dans les logs de rkhunter (
/var/log/rkhunter.log
) :

[21:20:26] Info: SCAN_MODE_DEV set to 'THOROUGH'
[21:20:27] Checking /dev for suspicious file types [ Warning ]
[21:20:27] Warning: Suspicious file types found in /dev:
[21:20:27] /dev/shm/pulse-shm-14829031: data
[21:20:27] /dev/shm/pulse-shm-2850614116: data
[21:20:27] /dev/shm/pulse-shm-2723327162: data
[21:20:27] /dev/shm/pulse-shm-2229748713:<SP>341?A¼<85><97>?¼)¿w¼ùôP¼3ìW¼üÙO¼þXD¼?Ì8": 341^KA¼<85><97>^B¼)¿w¼ùôP¼3ìW¼üÙO¼þXD¼^VÌ8"
[21:20:27] /dev/shm/pulse-shm-304149844: data
[21:20:27] /dev/shm/pulse-shm-2553932753: data
[21:20:27] /dev/shm/pulse-shm-2223891928: data
[21:20:27] /dev/shm/pulse-shm-4139134599: data
[21:20:27] Checking for hidden files and directories [ Warning ]
[21:20:27] Warning: Hidden directory found: /etc/.java


Ici on voit que j'ai un
/etc/.java
. Après examen ce répertoire ne contient que des fichiers vides, et je n'en trouve pas trace avec apt-file search
/etc/.java
donc je les ai dégagés.

Concernant les fichiers dans /dev/shm, ce sont des fichiers créés par mon utilisateur, créé quand j'ai démarré graphiquement, et qui correspondent visiblement au serveur de son (pulseaudio). Je décide donc d'ignorer ce warning.

On s'aperçoit dans mon cas en grattant un peu que c'est une alerte classique et pas grave dans les deux cas :
http://ubuntuforums.org/showthread.php?t=774783

Pour conclure

Personnellement je trouve assez suspectes beaucoup des sorties que tu as observées. Comme tu le vois une machine à peu près proprement gérée est sensée générer peu d'erreur rkhunter (ici c'était une debian jessie). Donc je t'invite à contrôler avec soin les alertes remontées par rkhunter...

Certains binaires inconnus de rkhunter sont a priori issus de paquets qu'on peut retrouver (sous debian ou distribution assimilée) avec apt-file qui s'installe comme suit (installons aussi debsum au passage) :

sudo apt-get update
sudo apt-get install apt-file debsums
apt-file update


On retrouve ainsi que les paquets dont sont issus les binaires inconnus par rkhunter sont issus des paquets suivants :

(mando@velvet) (~) $ apt-file search bin/GET | grep bin/GET$
libwww-perl: /usr/bin/GET
(mando@velvet) (~) $ apt-file search bin/tcpd | grep bin/tcpd$
tcm: /usr/bin/tcpd
tcpd: /usr/sbin/tcpd
(mando@velvet) (~) $ apt-file search bin/inetd | grep bin/inetd$
openbsd-inetd: /usr/sbin/inetd


Si tu es effectivement passés par des paquets tu devrais les voir avec la commande
dpkg
:

dpkg -l | egrep "tcpd|libwww-perl|openbsd-inetd"


... et s'ils sont effectivement installés, les contrôler avec debsum...

debsums


Bonne chance
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Merci mamiemando Pour cette explication assez claire !! je vais relire tes explications ligne par ligne et appliquer le necessaire !!
Juste pour eclairer que j'ai un serveur dedié chez OVH et que j'ai installé ISPCONFIG pour déliver des services web !!
cela pourrait t'il etre à l'origine ?

<a href="https://www.howtoforge.com/perfect-server-ubuntu-14.10-with-apache-php-myqsl-pureftpd-bind-postfix-doveot-and-ispconfig">INSTALLATION DE ISPCONFIG </a>
Messages postés
29899
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
18 juin 2021
7 125
Je ne sais pas, en fait il faut vraiment prendre le temps de regarder. Le mieux étant de copier coller les messages dans google pour comprendre comment les résoudre. Tu verras notamment que certaines alertes rkhunter sont classiques et peuvent être ignorées dans certains cas, et les gens ont tendance à les filtrer avec une white-list.

Moi déjà je me demanderais s'il est légitime que les ports signalés par rkhunter ont lieu d'être, s'ils sont utilisés (voir
netstat -ntlp
, etc).

Bonne chance