Odstraneni rootkitu

Ahoj,
potreboval bych pomoc pri diagnostice vystupu z rkhunteru. Nasel mi jeden possible rootkit. Ja jsem z logu nedokazal vycist, jestli teda mam opravdu rootkit a nebo je to false positive.

Tady je zkraceny vypis vysledku z CLI po spuesteni rkhunteru.

[19:18:11] System checks summary
[19:18:11] =====================
[
[19:18:11]
[19:18:11] Rootkit checks...
[19:18:11] Rootkits checked : 501
[19:18:11] Possible rootkits: 1

Cely vypis z CLI a log rkhunteru prikladam v priloze.

Budu vdecny za kazde nasmerovani.

Odpovědi

Skús použiť novšiu verziu, je rok 2024.

5.3. 21:16 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: Odstraneni rootkitu

Pouzivam posledni verzi, ale jak se tak divam, tak je z roku 2018. Ten vyvoj uz skoncil? Nebo co doporucujete pouzivat misto rkhunter?

Rootkit Hunter release 1.4.6 (February 20th 2018)

rkhunter --versioncheck

[ Rootkit Hunter version 1.4.6 ]



Checking rkhunter version...

  This version  : 1.4.6

  Latest version: 1.4.6

5.3. 21:31 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Odstraneni rootkitu

Už je to vyše 5 rokov od poslednej verzie, takže to asi nebude obsahovať ani ktuálne vzorky, a ani detekčné rutiny zodpovedajúce súčastnému dátumu.

Odporučil by som napr. lynis alebo niečo iné (podľa potreby).

5.3. 21:31 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: Odstraneni rootkitu

Nasel jsem jeste Lynis, tak ten jeste vyzkousim.

Jedine warningy v logu su SSH root, beziace procesy so zmazanymi pid-mi a tento:

[19:18:11]   Checking for hidden files and directories       [ Warning ]
[19:18:11] Warning: Hidden file found: /etc/.resolv.conf.systemd-resolved.bak: ASCII text

Treba skusit premazat (presunut) a znovu spustit rkhunter.

Dotaz: Odstraneni rootkitu

Odpovědi