Rootkit Hunter als 3rd-party-app

Status
Für weitere Antworten geschlossen.

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
Das ist auf die Schnelle nicht zu beheben, die neue Version wird dies natürlich wieder können.
 

stefan69

Benutzer
Mitglied seit
19. Mrz 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
12
Guten Morgen,

die Lösung für CronJob wie in Post #155 beschrieben hat wohl funktioniert. Es wurde heute Nacht kein Scan ausgeführt. Mal sehen ob dieser planmäßig am nächsten Donnerstag startet.

Mfg stefan69
 

stefan69

Benutzer
Mitglied seit
19. Mrz 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
12
Guten Morgen QTip,

ich habe noch einmal eine Frage: wenn ich per MacBook auf die Synology zugreifen möchte geht dieses zum einen ja per Terminal wie mit Putty auch, aber gibt es einen Ersatz für WinSCP für den MacOsX ? Ich habe schon CyberDuck und Ruby probiert aber ich bekomme immer eine Fehler Meldung das die Anmeldung nicht erfolgreich war. Hast Du eunen Tip mit welche Programm ich zugreifen kann?

Mfg stefan69
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
Sorry, hätte dir nun auch Cyberduck empfohlen, aber wenn das schon nicht funktioniert. Kenne mich mit Mac überhaupt nicht aus, kann dir leider nicht weiter helfen.
 

stefan69

Benutzer
Mitglied seit
19. Mrz 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
12
Guten Tag QTip,
so habe das diesen Donnerstag mal beobachtet und es läuft alles so wie es soll. Der Scan um 00:30 und auch die Warnungen passen. Noch einmal Danke schön.
Mfg stefan69:eek:
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
Freut mich, dass es bei dir nun läuft.
 

SFBF

Benutzer
Mitglied seit
05. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo - auch ein Gutes Neues Jahr!

Ich wollte auch nur berichten, dass ich in der Systemsteuerung - DSM Einstellungen - Sicherheit die Option "Schutz gegen Cross-Site-Request-Forgery-Attacken verbessern" ausschalten
UND
ipkg install coreutils findutils file lsof binutils procps e2fsprogs
nachinstallieren musste (anscheinend werden die doch nicht automatisch installiert).
Die Diskussion hier hat mir sehr geholfen - großes DANKE!
Vielleicht könnte man das Wiki entsprechend anpassen.
 

moritzmlg

Benutzer
Mitglied seit
12. Nov 2013
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo,

erstmal: Danke für deine/eure Mühe mit dem Paket! Ich habe auf der DSM 5, 212j, aktuellste Updates installiert, jetzt mal einen Scan durchgeführt. Klappt auch alles. Allerdings bin ich beim Update verwundert, denn es werden nur alte Versionen geladen?
[18:46:50] Running Rootkit Hunter version 1.4.2 on alphaproxima
[18:46:57] Info: This version : 2007060601
[18:46:57] Info: Latest version: 2007060601
[18:46:57] Checking file mirrors.dat [ No update ]
[18:46:57] Info: Executing download command '/usr/bin/wget -q -O "/usr/syno/synoman/webman/3rdparty/rkhunter/rkhunter/files/rkhunter.upd.12792" http://rkhunter.sourceforge.net/1.3/programs_bad.dat 2>/dev/null'
[18:46:59] Info: This version : 2010111601
[18:47:00] Info: Latest version: 2010111601
[18:47:00] Checking file programs_bad.dat [ No update ]
[18:47:00] Info: Executing download command '/usr/bin/wget -q -O "/usr/syno/synoman/webman/3rdparty/rkhunter/rkhunter/files/rkhunter.upd.12792" http://rkhunter.sourceforge.net/1.3/backdoorports.dat 2>/dev/null'
[18:47:01] Info: This version : 2010111401
[18:47:01] Info: Latest version: 2010111401
[18:47:01] Checking file backdoorports.dat [ No update ]
[18:47:02] Info: Executing download command '/usr/bin/wget -q -O "/usr/syno/synoman/webman/3rdparty/rkhunter/rkhunter/files/rkhunter.upd.12792" http://rkhunter.sourceforge.net/1.3/suspscan.dat 2>/dev/null'
[18:47:03] Info: This version : 2009112901
[18:47:03] Info: Latest version: 2009112901
[18:47:05] Checking file suspscan.dat [ No update ]
[18:47:07] Info: Executing download command '/usr/bin/wget -q -O "/usr/syno/synoman/webman/3rdparty/rkhunter/rkhunter/files/rkhunter.upd.12792" http://rkhunter.sourceforge.net/1.3/i18n/1.4.2/i18n.ver 2>/dev/null'

Die neueste ist von 2010... kann das sein? Oder habe ich irgend etwas falsch eingestellt?

Freue mich über Hilfe!

Viele Grüße!
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Hi
bin beim durchstöbern vom Wiki auf RootkitHunter gestoßen und wollte es auch gleich mal ausprobieren.
Mein Setup:
- DS-712+
- DSM 5.1-5022 Update 5
- IPKG installiert und aktuell (ebenso coreutils, findutils, file und lsof)
- Init 3rdparty 1.7-003
- rkhunter 1.10 (direkt installiert per spk, kein update)

Installation lief fehlerfrei. DS wurde neugestartet und Browser (Safari und Chrome) wurden geschlossen und anschließend neu gestartet.
Wenn ich es nun öffnen will, in der DSM, kommt lediglich ein weißes Fenster ohne Inhalt.

http://www.directupload.net/file/d/3976/i5j3dax8_png.htm

Jemand ne Idee?

Gruß
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
In der Systemsteuerung - Sicherheit - die Option "Schutz gegen Cross-Site-Request-Forgery-Attacken verbessern" deaktivieren, anschließend vom DSM abmelden und erneut anmelden.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
Danke hat funktioniert.

Update geht soweit.
UpdateDB aber nicht. Hier kommt folgende Fehlermeldung:
Invalid IMMUTWHITELIST configuration option: Non-existent pathname: /tmp/locking.tdb
Invalid IMMUTWHITELIST configuration option: Non-existent pathname: /tmp/.db.synoshare.tdb*

Genauso kommt bei Scan folgender Fehler:
Invalid RTKT_FILE_WHITELIST configuration option: Non-existent pathname: /tmp/locking.tdb

Im DSM werden die Fehlermeldungen mit komischen "?" im Pfadnamen angezeigt ( /?mp/?o?in?g.?db )
Auf Kommandozeile nicht. Also da stehts Richtig. Sowohl im DSM als auch auf Kommandozeile passen die Pfade im Config-File (rkhunter.conf).

Frage müssen die Dateien denn existieren? Die gibt es nämlich noch nicht. Wo müssten die liegen und wie müssen die Rechte gesetzt sein?

Was kann ich sonst noch prüfen/einstellen?

Danke schonmal
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
Hi,

Danke hat funktioniert.

Update geht soweit.
UpdateDB aber nicht. Hier kommt folgende Fehlermeldung:
Invalid IMMUTWHITELIST configuration option: Non-existent pathname: /tmp/locking.tdb
Invalid IMMUTWHITELIST configuration option: Non-existent pathname: /tmp/.db.synoshare.tdb*
Wechsel in der Konfiguration, dann Eintrag "IMMUTWHITELIST" anwählen und den Text "/tmp/locking.tdb" in "/run/samba/locking.tdb" ändern, die restlichen Einträge in dem Abschnitt entfernen.

Genauso kommt bei Scan folgender Fehler:
Invalid RTKT_FILE_WHITELIST configuration option: Non-existent pathname: /tmp/locking.tdb
Gleiche wie oben, nur anderer Eintrag. Wechsel auf "RTKT_FILE_WHITELIST" und den Text "/tmp/locking.tdb" in "/run/samba/locking.tdb" ändern.

Bei den obigen Konfigurationseinstellungen müssen die angebenen Pfade/Dateien existieren, sonst kommt es zu dieser Fehlermeldung.

Im DSM werden die Fehlermeldungen mit komischen "?" im Pfadnamen angezeigt ( /?mp/?o?in?g.?db )
Auf Kommandozeile nicht. Also da stehts Richtig. Sowohl im DSM als auch auf Kommandozeile passen die Pfade im Config-File (rkhunter.conf).

Frage müssen die Dateien denn existieren? Die gibt es nämlich noch nicht. Wo müssten die liegen und wie müssen die Rechte gesetzt sein?
Diese "?" sind Farbcodes die nicht dargestellt werden können. In RKHunter wurde die Farbdarstellung verändert, ich hatte immer die Option --nocolors angeben, damit keine Farbe benutzt wird. Da es noch weitere Ausführungsfehler bezüglich Display etc. gibt, erscheint auch dieses Meldungsfenster am Ende des Scans.

Ich habe mir mal die aktuelle rkhunter v4.2 installiert und bekomme auch diverse Fehlermeldungen. Nach Anpassung der Konfiguration anhand einer aktuellen Version habe ich es zumindest schon geschafft, dass die Installation wieder funktioniert und auch das DB-Update. Allerdings gibt es beim Scan noch Dinge, die ich auf die Schnelle nicht beheben kann. Kann aber auch an den vielen Änderungen zwischen DSM 4.x und DSM 5.x liegen, so genau habe ich das noch nicht analysiert.

Das Paket ist von 2011 und schon ziemlich alt. Es müssten eine ganze Menge an Aktualisierungen meinerseits durchgeführt werden, wozu mir einfach die Zeit fehlt. Mit dem Sicherheitsberater im DSM hat man ja etwas Vergleichbares schon fix & fertig eingebaut.

Du oder jemand Anderes kann sich gerne daran austoben, von meiner Seite wird es aber zur Zeit eher wenig geben.
 
Zuletzt bearbeitet:

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
Rootkit Hunter 1.42 ab DSM 5

Hab es nun doch noch hinbekommen, liegt wohl an den Änderungen ab DSM 5 und der Shellumgebung. Speziell die PATH-Variable fehlt vollständig, wenn ein Shellscript vom Web per PHP aufgerufen wird.
Hier nun die Schritte damit es wieder läuft:

  • Rootkit Hunter SPK installieren, noch nicht starten!
  • neue Konfiguration (basierend auf v1.42) aus dem Anhang herunterladen und entpacken
  • mit WinSCP eine Verbindung als root mit Passwort vom admin zur Diskstation aufbauen
  • die neue Konfiguration nach /var/packages/rkhunter/target hochladen, die vorhandene Datei überschreiben
  • die Datei /var/packages/rkhunter/target/rkhcmd.sh mit einem Linux-tauglichen-Editor öffnen
  • Zeile 11 von
    Rich (BBCode):
    PATH="/opt/bin:/opt/sbin:$PATH"
    in
    Rich (BBCode):
    PATH="/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin:/usr/local/sbin:/usr/local/bin"
    export PATH
    ändern
  • in Zeile 53, 64, 164 und 247 die Option --nocolors anhängen (rot markiert), die Zeilen sind nicht identisch, aber die Option muss an allen 3 Zeilen angehangen werden (denkt an das Leerzeichen vor der Option)
    Rich (BBCode):
    ./rkhunter $RKHUPDDB--check --sk --configfile $RKHWEB/rkhunter.conf --logfile $RKHLOGS/rkhunter_$DATETIME.log --nocolors
  • in Zeile 144 die Option --nocolors entfernen (rot markiert)
    Rich (BBCode):
    ./installer.sh --layout custom . --install --nocolors | tee -a $RKHLOGS/rkh-inst_$DATETIME.log 2>&1
  • Datei sichern und ggf. hochladen
  • erst jetzt Rootkit Hunter starten und installieren

Wenn ich mal irgendwann viel Langeweile und Lust habe, werde ich ein neues Package basierend auf den Erkenntnissen hochladen. Es wird aber keine neue schöne GUI geben.
 

Anhänge

  • rkhunter.conf_1.42_2015-05-06.zip
    13,9 KB · Aufrufe: 64
Zuletzt bearbeitet:

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
489
Punkte für Reaktionen
11
Punkte
24
top!
läuft einwandfrei.
genau so, und am besten noch mit geänderter rkhcmd.sh oder noch besser gleich mit neuem spk ins wiki stellen wär cool ;-)
danke

gruß
 

Philiph

Benutzer
Mitglied seit
26. Jun 2011
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Mit 5.2 muss man ebenso den "Schutz gegen Cross-Site-Request" in den Sicherheitseinstellungen deaktivieren.
Ansonsten gibt IE einen 403/forbidden retour bzw. bleibt der Init-Screen weiß.

Lg,
Philip
 
Zuletzt bearbeitet:

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
disablen von XSRF hilft bei mir nicht (FireFox 46.0.1). Habe DSM 5.2, ipkg und auch die genannten tools per ipkg nachinstalliert.
weiterhin weißer Fensterinhalt.
wer kann helfen?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat