Rootkit Hunter als 3rd-party-app

[Matthieu]

Hab mir die Liste im Wiki noch mal zu Gemüte geführt und bin gaaaanz unten auch auf Rootkit Hunter gestoßen. Habs gleich installiert (auch wenn ich denke das es unter Linux keinen großen Handlungsbedarf gibt, aber es hängt ja auch Windows mit dran ).
Find es eine tolle Idee. Jetzt läuft grad der erste Test ...

@amarthius: Das es Probleme mit dem Resource-Monitor gibt hab ich Synology schon mal gemailt gehabt. Damals war es der "synoindexd" der laut Statistik alleine auf knapp 80% kam und die Grafik aber immernoch bei 30% rumhing.

Also: Tolles Projekt, großes Dankeschön.

MfG Matthieu

 

[Amanda]

Fragen zum Rootkit Hunter / cronjob

Hallo an alle,

ich habe den Rootkit Hunter jetzt auch installiert. Nachdem ClamAV nicht so wollte, wie ich es gerne haette.

Die Installation war einfach, auch für jemanden, der seine Syno erst 2 Wochen besitzt. Es gab keine Probleme und die Dokus waren gut.

Aber ich habe trotzdem noch einige Fragen:

1. Ich habe Cron-Job angeklickt, worauf auch brav ein Cronjob in die /etc/crontab eingetragen wurde.
Da ich aber nicht um 0:30 das System stressen wollte (es kann ja sein, dass gerade dann noch Daten verschoben werden), habe ich den Wert mit der Hand auf 2:30 geaendert.

30 2 * * * root /usr/syno/synoman/webman/3rdparty/rkhunter/rkhcmd.sh startcron

Heute im Logfile stand aber, dass er trotzdem um 0:30 gescannt hat.
...

[00:32:54] Running Rootkit Hunter version 1.3.4 on CubeStation
[00:32:56]
[00:32:56] Info: Start date is Mon Aug 31 00:32:55 CEST 2009
[00:32:58]
...

Jetzt meine Frage: Wo kann man den Cronjob anpassen, wenn nicht in der /etc/crontab selbst?

Die Systemzeit sollte eigentlich passen
CubeStation> date
Mon Aug 31 20:04:30 CEST 2009

Mein Rechner sagt auch 20:04 Uhr.



2. Ich habe in den Einstellungen gestern nichts weiter geaendert. Trotzdem habe ich heute eine Mail mit einer Warnung bekommen.

MAIL-ON-WARNING=
#MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"

Ich habe allerdings die globalen Benachrichtigungen (SMTP-Server fuer Fehlermeldungen) auf meinem System eingeschaltet. Holt sich der Rootkit Hunter die Daten von dort?


3. Was bedeutet die Warnung:

[00:34:40] Warning: Checking for prerequisites [ Warning ] ?



Vielen Dank schon mal

Amanda

 

[Matthieu]

Sagt denn das Ende des Berichts von dem Tag an dem du die Mail erhalten hast etwas von gefundenen "Übeltätern"?

Die Meldung die du kriegst hab ich auch immer mal ... wird also nichts akutes sein.

MfG Matthieu

 

[Amanda]

Am Ende steht das:

[01:38:26] System checks summary
[01:38:27] =====================
[01:38:29]
[01:38:29] File properties checks...
[01:38:31] Required commands check failed
[01:38:33] Files checked: 147
[01:38:34] Suspect files: 0
[01:38:36]
[01:38:36] Rootkit checks...
[01:38:37] Rootkits checked : 83
[01:38:39] Possible rootkits: 0
[01:38:40]
[01:38:40] Applications checks...
[01:38:42] Applications checked: 2
[01:38:44] Suspect applications: 0
[01:38:45]
[01:38:45] The system checks took: 64 minutes and 15 seconds
[01:38:48]
[01:38:48] Info: End date is Mon Aug 31 01:38:47 CEST 2009

Dann gehe ich mal davon aus, dass alles ok ist.

Zum CronJob hast du keine Idee, oder?

Amanda

 

[Matthieu]

Scheint alles in Ordnung zu sein ... komische Fehlermeldung.

Ich bin mit 0:30 zufrieden. Ich denke da werden wir warten müssen bis QTip uns einen Einblick in das Innere seines spks gewährt.

MfG Matthieu

 

[QTip]

Hallo an alle,

ich habe den Rootkit Hunter jetzt auch installiert. Nachdem ClamAV nicht so wollte, wie ich es gerne haette.

Die Installation war einfach, auch für jemanden, der seine Syno erst 2 Wochen besitzt. Es gab keine Probleme und die Dokus waren gut.

Aber ich habe trotzdem noch einige Fragen:

1. Ich habe Cron-Job angeklickt, worauf auch brav ein Cronjob in die /etc/crontab eingetragen wurde.
Da ich aber nicht um 0:30 das System stressen wollte (es kann ja sein, dass gerade dann noch Daten verschoben werden), habe ich den Wert mit der Hand auf 2:30 geaendert.

30 2 * * * root /usr/syno/synoman/webman/3rdparty/rkhunter/rkhcmd.sh startcron

Heute im Logfile stand aber, dass er trotzdem um 0:30 gescannt hat.
...

[00:32:54] Running Rootkit Hunter version 1.3.4 on CubeStation
[00:32:56]
[00:32:56] Info: Start date is Mon Aug 31 00:32:55 CEST 2009
[00:32:58]
...

Jetzt meine Frage: Wo kann man den Cronjob anpassen, wenn nicht in der /etc/crontab selbst?

Die Systemzeit sollte eigentlich passen
CubeStation> date
Mon Aug 31 20:04:30 CEST 2009

Mein Rechner sagt auch 20:04 Uhr.

Nach einer manuellen Änderung der crontab muss der Dienst auch neu gestartet werden. Entweder direkt auf der Shell mit:

kill -1 `cat /var/run/crond.pid

oder besser mit dem SPK cronjobs von itari

2. Ich habe in den Einstellungen gestern nichts weiter geaendert. Trotzdem habe ich heute eine Mail mit einer Warnung bekommen.

MAIL-ON-WARNING=
#MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"

Ich habe allerdings die globalen Benachrichtigungen (SMTP-Server fuer Fehlermeldungen) auf meinem System eingeschaltet. Holt sich der Rootkit Hunter die Daten von dort?

Ja, die Daten für den Mailversand holt sich rkhunter aus den Einstellungen für die Fehlermeldungs-Emails.
Die Warnung oben ist aber merkwürdig, da der Configeintrag auskommentiert ist. Kannst du hier mal das Log mit der Fehlermeldung und den Emailinhalt als Anhang posten. Evtl. musst du die Endung umbennen, damit du es hochladen kannst.

3. Was bedeutet die Warnung:

[00:34:40] Warning: Checking for prerequisites [ Warning ] ?

Vielen Dank schon mal

Amanda

Checking for prerequisites bedeutet: Überprüfung ob alle Vorraussetzungen erfüllt sind. Damit sind Tools wie file, find, etc. gemeint, die als Mindestvorraussetzung für einen vollständigen Scan vorhanden sein müssten. Direkt unterhalb der Warnung müsste der Grund für die Warnung stehen, aber das sehe ich dann im Log.
Hast du auch die aktuellste Version rkhunter 1.10 benutzt?

Und noch was: The system checks took: 64 minutes and 15 seconds
Ich weiss ja nicht was für eine DS du hast, aber das ist wahnsinnig lange. Da ClamAV bei dir auch sehr lange braucht, könnte sich was anbahnen.Wie lange dauert ein Scan bei dir Matthieu und welche DS hast du?

 

[Matthieu]

207+, aber ich hab auch weniger als 20GB Daten drauf ...

MfG Matthieu

 

[Amanda]

Ich habe heute frueh mal nachgesehen, wieviel ich eigentlich schon drauf habe.

73.4 von 2741.8 GB belegt.

(Ich habe eine CS407e. 4TB / Raid5)

Dass man nach einer crontab-Aenderung den Dienst neu starten muss, war mir neu. Auf meinen anderen Systemen (Debian, SLES) musste ich das noch nie tun.
Aber ich werde es mir merken.

Die kompletten Logfiles kann ich erst heute Abend schicken.
Einen Auszug habe ich angehängt.

Bei ClamAV warte ich erst mal ab. Irgendwann wird es sicher ein aktuelles Paket geben, hoffentlich. Dann probiere ich es nochmal aus. Der scheint beim Laden der Signaturen ein Problem zu haben.

Amanda

 

[itari]

Dass man nach einer crontab-Aenderung den Dienst neu starten muss, war mir neu. Auf meinen anderen Systemen (Debian, SLES) musste ich das noch nie tun.

Ich glaub, dass liegt an der von Synology customized BusyBox, die ja auf der DS läuft. Sicherlich wirst du auch merken, dass bei vielen Commands die Optionsschalter nicht funzen ... hat halt alles was mit der BusyBox zu tun. Ist halt eine kleine, eigene embedded Linux-Welt für kleine Kisten und macht diese ein wenig schneller als man sonst erwarten dürfte ...

Itari

 

[Amanda]

Hallo,

ich muss nochmal ein paar Fragen loswerden.
Ich lese mir gerade das Logfile vom Rootkit Hunter durch. Ihm scheint da was zu fehlen.

...
[02:34:37] Checking LD_LIBRARY_PATH variable [ Skipped ]
[02:34:39] Info: Unable to find the 'ldd' command
[02:34:42]
[02:34:42] Performing file properties checks
[02:34:44] Info: Starting test name 'properties'
[02:34:46] Warning: Checking for prerequisites [ Warning ]
[02:34:48] Unable to find 'lsattr' command - all file immutable-bit checks will be skipped.
...

Ich habe auch nochmal nachgesehen. Die Befehle gibt es wirklich nicht auf meiner Syno.
Ist das bei Euch auch so? Oder liegt es auch daran, dass es ein Busybox-System ist?

Kann man das Fehlende irgendwie nachinstallieren?

Viele Gruesse
Amanda

 

[QTip]

Hallo,

ich muss nochmal ein paar Fragen loswerden.
Ich lese mir gerade das Logfile vom Rootkit Hunter durch. Ihm scheint da was zu fehlen.

...
[02:34:37] Checking LD_LIBRARY_PATH variable [ Skipped ]
[02:34:39] Info: Unable to find the 'ldd' command

Dieses Kommando gibt es auf der DS leider nicht, auch nicht zum nachinstallieren per IPKG. Müsste mal jemand compilieren

[02:34:42] Performing file properties checks
[02:34:44] Info: Starting test name 'properties'
[02:34:46] Warning: Checking for prerequisites [ Warning ]
[02:34:48] Unable to find 'lsattr' command - all file immutable-bit checks will be skipped.
...

Ich habe auch nochmal nachgesehen. Die Befehle gibt es wirklich nicht auf meiner Syno.
Ist das bei Euch auch so? Oder liegt es auch daran, dass es ein Busybox-System ist?

Kann man das Fehlende irgendwie nachinstallieren?

Viele Gruesse
Amanda

Das 'lsattr' Kommando kannst du dir das per IPKG nachinstallieren:
ipkg update && ipkg install e2fsprogs

 

[Amanda]

Ok, hat sich erledigt.

Ich verstehe langsam, wie Busybox funktioniert.


Amanda

 

[Amanda]

Danke, hat funktioniert.

Amanda

 

[zdDog]

fehlermeldung

Hallo Qtip
Manchmal ist mein Syno unerreichbar und mach ich ein scan nach ein reboot

Bekomme dann ein popup "error" mit viel unerklärliche symbole :

Error

[ Rootkit Hunter version 1.3.4 ]File updated: searched for 188 files, found 145Checking system commands...  Performing 'strings' 
// 
   SunOS / NSDAP Rootkit[ Not found ]    Superkit Rootkit[ Not found ]    TBD (Telnet BackDoor)[ Not found[0;

nachdem im log:

[10:27:42] Running Rootkit Hunter version 1.3.4 on sisal_synology
//
[10:31:48]   Checking version of OpenSSH                     [ OK ]
[10:31:49] Info: Application 'sshd' version '5.2p1' found.
[10:31:49] Info: Applications checked: 2 out of 9
[10:31:49]
[10:31:49] System checks summary
[10:31:49] =====================
[10:31:49]
[10:31:49] File properties checks...
[10:31:49] Required commands check failed
[10:31:49] Files checked: 145
[10:31:49] Suspect files: 0
[10:31:49]
[10:31:49] Rootkit checks...
[10:31:50] Rootkits checked : 83
[10:31:50] Possible rootkits: 0
[10:31:50]
[10:31:50] Applications checks...
[10:31:50] Applications checked: 2
[10:31:50] Suspect applications: 0
[10:31:50]
[10:31:50] The system checks took: 3 minutes and 50 seconds
[10:31:50]
[10:31:50] Info: End date is Sat Sep 19 10:31:50 CEST 2009

Ich habe RKH 1.3.4 Stable

gehe davon aus das es kein rootkit gefunden hat, jedoch nur als feedback

 

[QTip]

Rootkit's scheinst du keine zu haben.

Welche Version des SPK-Paketes benutzt du, 1.00 oder 1.10 ? Hattest du vorher an der Config was geändert und er macht dann ein automatisches DB Update? Pack mal bitte das komplette Log als Anhang an deine Antwort, vorher Endung in txt ändern.

 

[zdDog]

eine kompletter log geht leider nicht da ich keine rechte habe zum anhänge (knopf wirkt nicht)

texte hier sind limitiert auf weniger symbole als im log

ich habe .spk 1.1

ich hab nach upgrade DSM2.2 etwas probleme gehabt auf wiederherstellung der 3rdApp, aber funktioniert alles wieder (nur schwierigkeiten met .htaccess)

also, kann jetz nicht weiter helfen

ist anhänge limitiert für mitglieder mit weniger als x beiträge?

 

[jahlives]

texte hier sind limitiert auf weniger symbole als im log

Dann hau das Logfile doch in ein Archiv (z.B. zip).
Grundsätzlich sollten Attachments für alle User genau gleich funzen. Einzig bei den Signaturen gibt es eine Minimalanzahl Post, die nötig sind.

 

[zdDog]

ok es war script block

 

[QTip]

nach Untersuchung deines Logs hab ich folgendes festgestellt:

[23:16:43]          All file hash checks will be skipped because:
[23:16:43]              The current hash function (/opt/bin/sha1sum) or package manager (Unset) is incompatible with the hash function (Unset) or package manager (Unset) used to store the values.

entweder ist dein ipkg nicht aktuell, du benutzt nicht das richtige für deine Prozessorarchitektur oder dein sha1sum es ist kaputt. Wenn du das richtige IPKG installiert hast, dann logge dich als root auf der Shell ein und gebe ipkg update && ipkg upgrade ein. Danach dann ein ipkg -force-reinstall install coreutils. Dies reinstalliert das Paket coreutils neu, da dort sha1sum enthalten ist.
Danach mach in rkhunter ein DB-Update und anschließend einen Scan.

Die Fehlermeldung bzw. das Popup ist kein wirklicher Fehler; die rkhunter Weboberfläche bekam nur einen nicht bekannten Return Code vom Shellscript zurück, was er fälschlicherweise als Fehler interpretierte. Die unerklärlichen Symbole sind Steuerzeichen für Farbe etc. Ich werde demnächst eine leicht überarbeitete Version vom SPK zum Download anbieten, in der das Problem nicht mehr auftreten sollte.

 

[zdDog]

Vielen dank QTip