rkhunter warnt mich bei "/ usr / bin / lwp-request" - was soll ich tun? [Debian 9]

25

Also habe ich gerade rkhunter installiert und ausgeführt, was mir grünes OK anzeigt / Nicht gefunden für alles außer: / usr / bin / lwp-request , wie folgt :

/usr/bin/lwp-request                                     [ Warning ]

Im Protokoll heißt es:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Ich bin schon gelaufen rkhunter --propupdund sudo apt-get update && sudo apt-get upgradewas hat nicht geholfen. Ich habe Debian 9.0 erst vor ein paar Tagen installiert und bin ein Linux-Neuling.

Irgendwelche Vorschläge, was zu tun ist?


Edit : Außerdem gibt mir chkrootkit folgendes :

Die folgenden verdächtigen Dateien und Verzeichnisse wurden gefunden:

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Ich denke, das ist eine separate Frage? Oder ist das überhaupt kein Problem? Ich kann nicht überprüfen, ob diese Dateien / Verzeichnisse in Ordnung sind und benötigt werden.

Bearbeiten : Hinweis Ich habe auch einmal Warnungen für "Überprüfen auf Änderungen an Passwd-Dateien" und "Überprüfen auf Änderungen an Gruppendateien" erhalten, obwohl ich kein solches afaik geändert habe. Ein früherer und späterer Scan zeigte keine Warnungen - diese zeigten nur einmal. Irgendwelche Ideen?

mYnDstrEAm
quelle
1
lwp-requestsoll ein Perl-Skript sein, das ist also eine merkwürdige Warnung.
Derobert
@derobert Bekommst du dann den gleichen Fehler? Auch die Warnung ist imo darüber, dass es ersetzt wurde (zu einem anderen Perl-Skript, denke ich) - nicht darüber, dass es ein Perl-Skript ist. Ich kopierte seinen Inhalt hier: pastebin.com/bSLivGvz
mYnDstrEAm
1
Ich erhalte dieselbe Warnung auf meiner Debian-Testbox. Ihr Pastebin passt auch zu meiner Kopie von lwp-request (allerdings mit Änderungen am Zeilenende, von denen ich annehme, dass sie vom Pastebin stammen). Ich vermute also Fehlalarm.
Derobert

Antworten:

25

rkhunter muss wissen, welchen Paketmanager Sie verwenden.

Erstellen oder bearbeiten /etc/rkhunter.conf.localSie die folgende Zeile und fügen Sie sie hinzu:

PKGMGR=DPKG

Wenn Sie nicht unter Debian oder Ubuntu arbeiten, wechseln Sie DPKGzu Ihrem eigentlichen Paketmanager.

Auf diese Weise rkhunterwissen Sie, dass es sich bei diesen ausführbaren Dateien um Skripte handelt, und markieren nicht das falsche Positiv.

Es wird sichergestellt, dass ein neues positives Ergebnis angezeigt wird, wenn die Dateien manipuliert werden.

MacroMan
quelle
Groß; aber warum kann ich es nicht auf "APT-GET" setzen? ( relevante Frage ) Und was wird standardmäßig zum Überprüfen der Hashes verwendet, wenn dies nicht DPKG für Debian ist? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter erkennt apt nicht als Paketmanager. dpkg ist auch ein gültiger Paketmanager auf allen Systemen, auf denen apt installiert ist (sofern nicht entfernt). Ich denke, der Standardwert ist RPM
MacroMan
@MacroMan Der in der Manpage angegebene Standardwert istNONE
Adam Spires
Die Kommentare in der rkhunter.conf besagen: "# NONE ist auch die Standardeinstellung für Debian, da das Ausführen von --propupd ungefähr viermal länger dauert, wenn es auf DPKG gesetzt ist". Siehe: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Es scheint nicht nötig zu sein, die PKGMGR-Option einzustellen
Nadir Latif,
1

Dasselbe gilt, wenn Sie den Root-Zugriff in SSH aktiviert haben. Sie sollten dann hinzufügen

ALLOW_SSH_ROOT_USER=YES

in deine /etc/rkhunter.conf.local Datei

Antonio J. de Oliveira
quelle
0

Wie unter https://metacpan.org/pod/lwp-request erwähnt , ist die lwp-Anfrage ein Skript, mit dem http-Anfragen an Webserver gesendet werden können. Es ist nicht böswillig und daher kann der Fehler ignoriert werden.

Um den Fehler zu unterdrücken, müssen Sie zulassen, dass der Befehl / usr / bin / lwp-request als Skript verwendet wird. Dies kann durch Hinzufügen der Zeile erfolgen:

SCRIPTWHITELIST=/usr/bin/lwp-request

In die Datei /etc/rkhunter.conf oder /etc/rkhunter.conf.local . Siehe die Option SCRIPTWHITELIST in der Konfigurationsdatei rkhunter.conf

Diese Lösung wurde in den Linux Mint-Foren erwähnt

Nadir Latif
quelle
1
Und wenn es jemand schafft, lwp-request durch ein bösartiges Skript zu ersetzen? Bitte seien Sie mit diesem Vorschlag besonders vorsichtig. Es lässt dich verwundbar!
MacroMan