rkhunter mi dà un avvertimento per "/ usr / bin / lwp-request" - cosa devo fare? [Debian 9]

26

Quindi ho appena installato ed eseguito rkhunter che mi mostra OK verde / Non trovato per tutto tranne che per: / usr / bin / lwp-request , in questo modo:

/usr/bin/lwp-request                                     [ Warning ]

Nel registro si dice:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Ho già corso rkhunter --propupde sudo apt-get update && sudo apt-get upgradequesto non ha aiutato. Ho installato Debian 9.0 solo pochi giorni fa e sono un nuovo arrivato su Linux.

Qualche suggerimento su cosa fare?

Modifica : Inoltre chkrootkit mi dà questo:

Sono stati trovati i seguenti file e directory sospetti: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Immagino sia una domanda separata? O questo non è affatto un problema? Non so come verificare se questi file / directory sono ok e necessari.

Modifica : Nota Una volta ho anche ricevuto degli avvisi per "Verifica delle modifiche ai file passwd" e "Verifica delle modifiche ai file di gruppo" anche se non ho cambiato nulla di simile. Una scansione precedente e successiva non ha mostrato avvisi: questi sono stati mostrati solo una volta. Qualche idea?

debian  security  rkhunter 
mYnDstrEAm
fonte
1
lwp-requestdovrebbe essere uno script Perl, quindi è un avvertimento strano.
derobert,
@derobert Allora ricevi lo stesso errore? Anche l'avvertimento è imo sul fatto che è stato sostituito (con un altro script perl immagino) - non sul fatto che sia uno script perl. Ho copiato il suo contenuto qui: pastebin.com/bSLivGvz
mYnDstrEAm
1
Ricevo lo stesso avviso sulla mia casella di test Debian. Il tuo pastebin corrisponde anche alla mia copia di richiesta lwp (anche se con modifiche di fine linea, che presumo provengano da pastebin). Quindi sospetto un falso allarme.
derobert,

Risposte:

25

rkhunter deve sapere quale gestore di pacchetti si sta utilizzando.

Crea o modifica /etc/rkhunter.conf.locale aggiungi la seguente riga:

PKGMGR=DPKG

Se non sei su Debian o Ubuntu, cambia DPKGper il tuo gestore di pacchetti attuale.

In questo modo, rkhuntersaprà aspettarsi che quegli eseguibili siano script e non contrassegnare il falso positivo.

Garantirà che se i file vengono manomessi, verrà mostrato un nuovo risultato positivo.

MacRoman
fonte
Grande; ma perché non posso impostarlo su "APT-GET"? ( domanda pertinente ) E che cosa usa di default per controllare gli hash se non è DPKG per Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter non riconosce apt come gestore dei pacchetti. dpkg è anche un gestore di pacchetti valido su tutti i sistemi che hanno apt (se non rimosso). Penso che il valore predefinito sia RPM
MacroMan
@MacroMan Il valore predefinito indicato nella pagina man èNONE
Adam Spires il
I commenti nello stato rkhunter.conf: "# NONE è anche l'impostazione predefinita per Debian, poiché l'esecuzione di --propupd richiede circa 4 volte di più quando è impostata su DPKG". Vedi: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Sembra che non sia necessario impostare l'opzione PKGMGR
Nadir Latif il
1

Lo stesso se si dispone dell'accesso root abilitato in SSH. Dovresti quindi aggiungere

ALLOW_SSH_ROOT_USER=YES

nel tuo file /etc/rkhunter.conf.local

Antonio J. de Oliveira
fonte
0

Come accennato su: https://metacpan.org/pod/lwp-request , la richiesta lwp è uno script che consente di effettuare richieste http ai server Web. Non è dannoso e quindi l'errore può essere ignorato.

Per sopprimere l'errore è necessario consentire l'utilizzo del comando / usr / bin / lwp-request come script. Questo può essere fatto aggiungendo la riga:

SCRIPTWHITELIST=/usr/bin/lwp-request

Per /etc/rkhunter.conf o /etc/rkhunter.conf.local file. Vedere l' opzione SCRIPTWHITELIST nel file di configurazione rkhunter.conf

Questa soluzione è stata menzionata nei forum di Linux Mint

Nadir Latif
fonte
2
E se qualcuno riuscisse a sostituire la richiesta lwp con uno script dannoso? Si prega di essere molto cauti usando questo suggerimento Ti lascia vulnerabile!
MacroMan
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.