:strip_exif()/u/62088/sp_jh2.gif?f=community)
Zojuist even rkhunter gedraaid, en die kwam met een heel lijstje warnings, en dat zit me niet lekker.
Ik kreeg een aantal warnings op nogal wat belangrijke tools:
Als ik de rkhunter logfile eens bekijk zie ik bijv voor sudo:
Ik heb even gezocht op dit soort problemen, maar het lijkt erop dat dit niet van een ubuntu update afkomstig is.
Het lijkt er dus echt op dat er iets naars aan de hand is, maar hoe dit gekomen is is me een raadsel. Ik draai geen services die van buitenaf bereikbaar zijn. Ik vermoed dat er een lek in firefox is gebruikt of iets dergelijks, maar daarmee zou je nog geen root hebben lijkt me.
Die "unhide" binaries zijn ook verdacht:
/urs/sbin/unhide is ook gelinkt naar /etc/alternatives/unhide , die /etc/alternatives kende ik ook nog niet.
Wat nu ? Zou ik de verdachte spullen m.b.v. apt-get -force opnieuw kunnen installeren ?
Of wordt het toch een re-install ?
Ik kreeg een aantal warnings op nogal wat belangrijke tools:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| [12:46:11] /usr/bin/lastlog [ Warning ] [12:46:11] /usr/bin/ldd [ Warning ] [12:46:13] /usr/bin/newgrp [ Warning ] [12:46:13] /usr/bin/passwd [ Warning ] [12:46:15] /usr/bin/sudo [ Warning ] [12:46:22] /usr/sbin/groupadd [ Warning ] [12:46:22] /usr/sbin/groupdel [ Warning ] [12:46:22] /usr/sbin/groupmod [ Warning ] [12:46:23] /usr/sbin/grpck [ Warning ] [12:46:23] /usr/sbin/nologin [ Warning ] [12:46:24] /usr/sbin/pwck [ Warning ] [12:46:24] /usr/sbin/unhide [ Warning ] [12:46:24] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file. [12:46:24] /usr/sbin/useradd [ Warning ] [12:46:25] /usr/sbin/userdel [ Warning ] [12:46:25] /usr/sbin/usermod [ Warning ] [12:46:25] /usr/sbin/vipw [ Warning ] [12:46:26] /usr/sbin/unhide-linux26 [ Warning ] [12:46:26] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file. |
Als ik de rkhunter logfile eens bekijk zie ik bijv voor sudo:
code:
1
2
3
4
5
6
7
8
| [12:46:15] /usr/bin/sudo [ Warning ] [12:46:15] Warning: The file properties have changed: [12:46:15] File: /usr/bin/sudo [12:46:15] Current hash: 2541fa8e115f96d521e9dacf9e667a32eb248cf9 [12:46:15] Stored hash : bbd351151424712a20ce1cce7e1efa563fcf094d [12:46:15] Current inode: 18745467 Stored inode: 18744300 [12:46:15] Current file modification time: 1221075776 [12:46:15] Stored file modification time : 1210812278 |
Ik heb even gezocht op dit soort problemen, maar het lijkt erop dat dit niet van een ubuntu update afkomstig is.
Het lijkt er dus echt op dat er iets naars aan de hand is, maar hoe dit gekomen is is me een raadsel. Ik draai geen services die van buitenaf bereikbaar zijn. Ik vermoed dat er een lek in firefox is gebruikt of iets dergelijks, maar daarmee zou je nog geen root hebben lijkt me.
Die "unhide" binaries zijn ook verdacht:
code:
1
2
3
4
5
6
| root@jaap-laptop:/var/log# unhide Unhide 02-11-2007 yjesus@security-projects.com usage: unhide proc | sys | brute |
/urs/sbin/unhide is ook gelinkt naar /etc/alternatives/unhide , die /etc/alternatives kende ik ook nog niet.
Wat nu ? Zou ik de verdachte spullen m.b.v. apt-get -force opnieuw kunnen installeren ?
Of wordt het toch een re-install ?
You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.
:strip_icc():strip_exif()/u/22092/crop5fa8360e95568_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/48064/relax-tux.jpg?f=community)
