Назад | Перейти на главную страницу

RKHunter сообщил о процессах, которые используют удаленные файлы или прослушивают сеть.

Я побежал Руткит-охотник 1.4.0 на сервере Debian Wheezy, и вывод меня смущает.

Я включил все тесты, используя следующую конфигурацию:

ENABLE_TESTS="all"
DISABLE_TESTS="none"

Результат следующий:

Warning: The following processes are using deleted files:
  Process: /usr/sbin/mysqld    PID: 2036    File: /tmp/ibi1WkYB
  Process: /usr/sbin/cron    PID: 7468    File: /tmp/tmpf73tnoh
  Process: /bin/dash    PID: 7469    File: /tmp/tmpf73tnoh
  Process: /bin/run-parts    PID: 7470    File: /tmp/tmpf73tnoh
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28542    File: /tmp/wgunicorn-cIAtc2
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28547    File: /tmp/wgunicorn-cIAtc2
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28548    File: /tmp/wgunicorn-cIAtc2
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28549    File: /tmp/wgunicorn-cIAtc2
Warning: Process '/sbin/dhclient' (PID 1328) is listening on the network.

Большинство из них должны быть ложноположительными, но я хотел бы понять, что происходит за этими ложными срабатываниями, и исправить те, которые не являются ложными. Этот отчет не появился ниоткуда, эти строки были у меня с самого первого запуска RKHunter.

Об удаленных файлах

RKHunter запускается ежедневно через cron, что объясняет, почему /usr/sbin/cron, /bin/run-parts (и возможно /bin/dash тоже?) появляются здесь.

Однако я не понимаю, почему:

1) Все эти удаленные файлы используются процессами. Означает ли этот отчет, что каждый из этих процессов пытается использовать файл, который был удален, или что он использовал в какой-то момент файл, который существовал в то время, но был удален впоследствии? Думаю, если ответ будет первым, это может быть проблемой. Можно / нужно это исправить?

2) 4 процесса одной программы используют один и тот же удаленный файл. Даже если использование удаленного файла является ложным срабатыванием, есть ли в этом отчете что-то, что указывает на то, что эти 4 процесса являются ошибкой (вместо того, чтобы иметь только один)? Я понимаю, что это может быть полностью специфичным для приложения и что здесь может не быть ответа из отчета, но я просто пытаюсь понять, почему они здесь. Для информации они относятся к веб-приложению, которое выполняется только один раз на сервере (которое является однопоточным и одноядерным).

О процессе прослушивания

У меня действительно есть DHCP, запущенный на этом сервере (из коробки, я не настраивал его и не знаю подробностей о DHCP).

3) Это нормально, что RKHunter сообщает об этом предупреждение? Если это ложное срабатывание, существует ли очевидная причина, по которой здесь не сообщается о других процессах, слушающих сеть (например, sshd, ...)?


Конечно, я постараюсь предоставить как можно больше информации, если это необходимо, не стесняйтесь спрашивать, если я забыл предоставить конкретные полезные данные.

Во-первых, это не «ложные срабатывания». рхунтер сообщает факты; он не применяет никакого толкования к этим фактам.

Означает ли этот отчет, что каждый из этих процессов пытается использовать файл, который был удален, или что он использовал в какой-то момент файл, который существовал в то время, но был удален впоследствии?

В отчете показаны процессы, в которых файл был открыт на момент его удаления. Вам необходимо определить, является ли это законным / приемлемым поведением для этих процессов.

... есть ли в этом отчете что-то, что указывает на то, что эти 4 процесса являются ошибкой (вместо того, чтобы иметь только один)?

Как вы думаете, в чем ошибка? Есть 4 отдельных процесса (как показано разными номерами PID), это то, что сообщает rkhunter.

Это нормально, что RKHunter сообщает об этом предупреждение?

rkhunter имеют общую конфигурацию; нет никакого способа узнать, что ты ожидать, что dhcpd будет работать на который конкретная машина - вам нужно сделать некоторую настройку. В разделе 6 часто задаваемых вопросов rkhunter подробно описано, как внести процесс / демон / и т. Д. В белый список.