rkunter: আরও সতর্কতা হ্যান্ডেল করার সঠিক উপায়?

8

আমি কিছু গুগল করেছিলাম এবং এটিতে পাওয়া দুটি প্রথম লিঙ্ক পরীক্ষা করে দেখেছি:

তারা এ জাতীয় সতর্কতার ক্ষেত্রে আমি কী করব তা উল্লেখ করে না:

Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
         File: /usr/bin/lynx
         Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
         Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4

প্রশ্নোত্তর: কি আরও বর্ধিত হাওটোস রয়েছে যা বিভিন্ন ধরণের সতর্কতাগুলির সাথে কীভাবে আচরণ করতে হয় তা ব্যাখ্যা করে?

এবং দ্বিতীয় প্রশ্ন। আমার ক্রিয়াগুলি কি এই সতর্কতাগুলি সমাধান করার জন্য যথেষ্ট ছিল?

ক) সন্দেহজনক ফাইল রয়েছে এমন প্যাকেজটি সন্ধান করার জন্য, যেমন এটি ফাইল / বিন / ফাইলের জন্য ডিবিয়ান্টিলস

~ > dpkg -S /bin/which
debianutils: /bin/which

খ) ডিবেইনটিলস প্যাকেজ চেকসামগুলি পরীক্ষা করতে:

~ > debsums debianutils
/bin/run-parts                                                                OK
/bin/tempfile                                                                 OK
/bin/which                                                                    OK
/sbin/installkernel                                                           OK
/usr/bin/savelog                                                              OK
/usr/sbin/add-shell                                                           OK
/usr/sbin/remove-shell                                                        OK
/usr/share/man/man1/which.1.gz                                                OK
/usr/share/man/man1/tempfile.1.gz                                             OK
/usr/share/man/man8/savelog.8.gz                                              OK
/usr/share/man/man8/add-shell.8.gz                                            OK
/usr/share/man/man8/remove-shell.8.gz                                         OK
/usr/share/man/man8/run-parts.8.gz                                            OK
/usr/share/man/man8/installkernel.8.gz                                        OK
/usr/share/man/fr/man1/which.1.gz                                             OK
/usr/share/man/fr/man1/tempfile.1.gz                                          OK
/usr/share/man/fr/man8/remove-shell.8.gz                                      OK
/usr/share/man/fr/man8/run-parts.8.gz                                         OK
/usr/share/man/fr/man8/savelog.8.gz                                           OK
/usr/share/man/fr/man8/add-shell.8.gz                                         OK
/usr/share/man/fr/man8/installkernel.8.gz                                     OK
/usr/share/doc/debianutils/copyright                                          OK
/usr/share/doc/debianutils/changelog.gz                                       OK
/usr/share/doc/debianutils/README.shells.gz                                   OK
/usr/share/debianutils/shells                                                 OK

সি) /bin/whichঠিক আছে হিসাবে আমি প্রায় শিথিল

/bin/which                                                                    OK

ঘ) ফাইল করা /bin/whichথেকে /etc/rkhunter.confযেমনSCRIPTWHITELIST="/bin/which"

e) সতর্কতার জন্য /usr/bin/lynxআমি ফাইলটি চেকসাম আপডেট করিrkhunter --propupd /usr/bin/lynx.cur

প্রশ্ন 2: আমি কি এই জাতীয় সতর্কতাগুলি সঠিকভাবে সমাধান করব?

rkhunter

— zuba
সূত্র

মার্কিন CERT - পদক্ষেপ একটি ইউনিক্স বা NT তে সিস্টেম সমঝোতা থেকে উদ্ধার করার জন্য :

In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.

— অগ্নি

3

debsumsএকটি বড় ত্রুটিযুক্ত ব্যবহারটি ব্যবহার করা খুব চতুর ধারণা: যদি কোনও রুট-মালিকানাধীন ফাইল যেমন ওভাররাইট করা হয় তবে /bin/whichএটি আপডেট হওয়া চেকসাম দিয়ে আবারও লিখতে পারে/var/lib/dpkg/info/*.md5sums । কোনও দেবিয়ান / উবুন্টু স্বাক্ষরে আর কোনও হেফাজতের কোনও শৃঙ্খলা নেই, যতদূর আমি দেখতে পাচ্ছি। যা সত্যই লজ্জাজনক কারণ এটি একটি লাইভ ফাইলের সত্যতা যাচাই করার জন্য একটি খুব সহজ এবং সত্যই দ্রুত উপায়।

কোনও ফাইল সত্যই যাচাই করার পরিবর্তে, আপনাকে সেই ডিবের একটি নতুন কপি ডাউনলোড করতে হবে, অভ্যন্তরীণটি বের করতে হবে control.tar.gzএবং তারপরে একটি বাস্তবের সাথে তুলনা করার জন্য এর এমডি 5সামস ফাইলটি দেখতে হবে md5sum /bin/which। এটি একটি বেদনাদায়ক প্রক্রিয়া।

এখানে সম্ভবত যা ঘটেছিল তা হ'ল আপনার কিছু সিস্টেম আপডেট হয়েছে (এমনকি একটি বিতরণ আপগ্রেড) এবং আপনি rkhunter এর প্রোফাইলগুলি আপডেট করতে বলেন নি। rkhunter ফাইলগুলি কেমন হওয়া উচিত তা জানতে হবে যাতে কোনও সিস্টেম আপডেট এটির বিরক্ত করতে চলেছে।

একবার আপনি যখন জানবেন যে sudo rkhunter --propupd /bin/whichকোনও কিছু নিরাপদ, আপনি ফাইলটির রেফারেন্স আপডেট করতে চালাতে পারেন ।

এটি rkhunter এর অন্যতম সমস্যা। এটিতে ডেবি প্রক্রিয়াটিতে গভীর সংহতকরণ প্রয়োজন যাতে বিশ্বস্ত, স্বাক্ষরিত প্যাকেজগুলি ইনস্টল হয়ে গেলে rkhunter ফাইলগুলিতে তার উল্লেখগুলি আপডেট করে।

এবং না, আমি এই জাতীয় জিনিসগুলি হোয়াইটলিস্ট করব না কারণ এটিই হ'ল রুটকিট পরে যাওয়া জিনিস।

— অলি
সূত্র

আপনাকে ধন্যবাদ ওলি, আমি আপনার ব্যাখ্যার সত্যিই প্রশংসা করি, তবে আমি একটি ব্যবহারিক সমাধান বা কার্যনির্বাহী অগ্রাধিকার চাই। আমি অন্য অনুগ্রহ খুলছি। আমার যদি যা প্রয়োজন হয় তা যদি না পাই তবে আমি আপনার উত্তরের অনুগ্রহটি বরাদ্দ করব। ঠিক আছে?)

— zuba

1

যুবা, শ্বেত তালিকাটি একটি খারাপ ধারণা; এটি কোনও ফাইল যাচাই করার জন্য নিযুক্ত করা হচ্ছে যা আপনার এবং আপনার অ্যান্টি-ম্যালওয়ারের কাছে দৃশ্যমান হওয়া উচিত, ধারণাটি যদিও ব্যবহৃত হয় এবং বার্তাটি দেখানো নিরীহ। আমরা কি পরিবর্তে একটি রথথ্রু তৈরি করতে পারলে আরও ভাল হত। কোথাও with দিয়ে শুরু হওয়া \ রেখার লাইন উপেক্ষা করা হবে; তবে এটি কিছু কোডিং অভিজ্ঞতা এবং রখুন্টারের কাজের নিবিড় জ্ঞান লাগে।

প্রোগ্রামিং পরিবর্তনগুলি সামঞ্জস্য করার জন্য যখন বিন / যা আবার লেখা হবে; সাধারণভাবে একটি ফাইল প্রতিস্থাপন করা হতে পারে বা ফাইলগুলি অস্থায়ীভাবে তৈরি করা যেতে পারে এবং একটি রিবুটের পরে পরিবর্তন বা অদৃশ্য হয়ে যেতে পারে এবং এটি রখুন্টার সফ্টওয়্যারটিকে চালিত করতে পারে।

একটি লাইন রয়েছে যেখানে সফ্টওয়্যার / আপডেটগুলি বা অ্যান্টিমালওয়্যার একটি রুটকিটের সাথে সাদৃশ্যপূর্ণ এবং আমি বিশ্বাস করি এটি এর মধ্যে একটি।

আপনি নিযুক্ত পদ্ধতিটি কেবল তখনই বিপজ্জনক যখন এটি কোনও প্রোগ্রাম বা ফাইল পরিবর্তন করে যা কোনওভাবে কম্পিউটার অপারেশনকে প্রভাবিত করে (আচরণ করে)। কখনও কখনও আমরা আরও খারাপ হতে পারি যে আমাদের মেশিনাগুলি সে ক্ষেত্রে in আপনার কম্পিউটারের জন্য এটি প্রমাণ করা সত্যই জিজ্ঞাসা করা অন্যায়, যেমন আমি এটি আমার হতে পারতাম। আমি জানতাম, সতর্কতাগুলি এবং চেকসামগুলি নথিভুক্ত করব এবং যখনই কোনও পরিবর্তন হবে তা নোট করব।

— ডায়োজিনস ল্যান্টন
সূত্র

1

হ্যাঁ, আমি সম্মত হই যে শ্বেত

— তালিকাভুক্ত