Che tipo di misure possiamo intraprendere per verificare definitivamente che un dato rapporto di rkhunter sia un falso positivo?

Naviga le tue risposte
4

Tra le altre misure, abbiamo rkhunter in corso su un paio di server.

rkhunter su entrambi i server ha segnalato un "file sospetto". In particolare: 

Warning: Suspicious file types found in /dev:
     /dev/shm/R1Soft-SHM-ZocPNFWuCcEl2rrN: data

Questo corrisponde ad un normale aggiornamento del pacchetto a R1Soft appena prima che apparisse questo avviso. Tuttavia, rpm -qf indica che questo file non appartiene a nessun pacchetto.

Sono ragionevolmente soddisfatto che si tratti di un falso positivo, dato che i tempi corrispondono a un aggiornamento di un pacchetto di un software mainstream, e lo hanno fatto in modo identico su due server non connessi. Il dubbio che ho è che sono passati alcuni giorni e non vedo nessun altro che abbia riportato lo stesso problema.

La mia domanda principale è:
Che tipo di passaggi possiamo adottare per verificare definitivamente che si tratta di un falso positivo?

Se possiamo farlo, sarei felice di scriverlo in bianco su rkhunter.

    
posta SCruz 25.12.2016 - 16:55
fonte

1 risposta

2

Perché stai utilizzando rkhunter scan / dev?

Se rkhunter funziona calcolando un hash su ogni file in una directory e confrontando i recenti risultati di hash con un database di hash originali, AND / dev è la directory del tuo dispositivo (quindi un filesystem non normale) , quindi / dev / shm è un dispositivo di memoria condivisa e non un file statico.

Ovviamente un hash su / dev / shm (memoria condivisa) potrebbe cambiare e produrre allarmi poiché potrebbe non essere un dato statico. Poiché ciò che è memorizzato in quel dispositivo di memoria condivisa cambia, anche il suo hash calcolato cambia.

Considera di proibire a rkhunter di scansionare alcune di queste directory di filesystem non normali in Linux (come / dev) aggiungendo / dev alla lista di preclusione.

Questo ha molto poco a che fare con l'aggiornamento di yum.

    
risposta data 26.12.2016 - 21:17
fonte

Leggi altre domande sui tag

Come sapere se la mia webcam viene utilizzata per spiarmi? Dove è possibile eseguire shellcode all'interno di un processo ordinario, qual è un modo furtivo per sfruttare il codice offensivo di Powershell?