Я побежал Руткит-охотник 1.4.0 на сервере Debian Wheezy, и вывод меня смущает.
Я включил все тесты, используя следующую конфигурацию:
ENABLE_TESTS="all"
DISABLE_TESTS="none"
Результат следующий:
Warning: The following processes are using deleted files:
Process: /usr/sbin/mysqld PID: 2036 File: /tmp/ibi1WkYB
Process: /usr/sbin/cron PID: 7468 File: /tmp/tmpf73tnoh
Process: /bin/dash PID: 7469 File: /tmp/tmpf73tnoh
Process: /bin/run-parts PID: 7470 File: /tmp/tmpf73tnoh
Process: /var/virtualenvs/project_foo/bin/python PID: 28542 File: /tmp/wgunicorn-cIAtc2
Process: /var/virtualenvs/project_foo/bin/python PID: 28547 File: /tmp/wgunicorn-cIAtc2
Process: /var/virtualenvs/project_foo/bin/python PID: 28548 File: /tmp/wgunicorn-cIAtc2
Process: /var/virtualenvs/project_foo/bin/python PID: 28549 File: /tmp/wgunicorn-cIAtc2
Warning: Process '/sbin/dhclient' (PID 1328) is listening on the network.
Большинство из них должны быть ложноположительными, но я хотел бы понять, что происходит за этими ложными срабатываниями, и исправить те, которые не являются ложными. Этот отчет не появился ниоткуда, эти строки были у меня с самого первого запуска RKHunter.
RKHunter запускается ежедневно через cron, что объясняет, почему /usr/sbin/cron
, /bin/run-parts
(и возможно /bin/dash
тоже?) появляются здесь.
Однако я не понимаю, почему:
1) Все эти удаленные файлы используются процессами. Означает ли этот отчет, что каждый из этих процессов пытается использовать файл, который был удален, или что он использовал в какой-то момент файл, который существовал в то время, но был удален впоследствии? Думаю, если ответ будет первым, это может быть проблемой. Можно / нужно это исправить?
2) 4 процесса одной программы используют один и тот же удаленный файл. Даже если использование удаленного файла является ложным срабатыванием, есть ли в этом отчете что-то, что указывает на то, что эти 4 процесса являются ошибкой (вместо того, чтобы иметь только один)? Я понимаю, что это может быть полностью специфичным для приложения и что здесь может не быть ответа из отчета, но я просто пытаюсь понять, почему они здесь. Для информации они относятся к веб-приложению, которое выполняется только один раз на сервере (которое является однопоточным и одноядерным).
У меня действительно есть DHCP, запущенный на этом сервере (из коробки, я не настраивал его и не знаю подробностей о DHCP).
3) Это нормально, что RKHunter сообщает об этом предупреждение? Если это ложное срабатывание, существует ли очевидная причина, по которой здесь не сообщается о других процессах, слушающих сеть (например, sshd
, ...)?
Конечно, я постараюсь предоставить как можно больше информации, если это необходимо, не стесняйтесь спрашивать, если я забыл предоставить конкретные полезные данные.
Во-первых, это не «ложные срабатывания». рхунтер сообщает факты; он не применяет никакого толкования к этим фактам.
Означает ли этот отчет, что каждый из этих процессов пытается использовать файл, который был удален, или что он использовал в какой-то момент файл, который существовал в то время, но был удален впоследствии?
В отчете показаны процессы, в которых файл был открыт на момент его удаления. Вам необходимо определить, является ли это законным / приемлемым поведением для этих процессов.
... есть ли в этом отчете что-то, что указывает на то, что эти 4 процесса являются ошибкой (вместо того, чтобы иметь только один)?
Как вы думаете, в чем ошибка? Есть 4 отдельных процесса (как показано разными номерами PID), это то, что сообщает rkhunter.
Это нормально, что RKHunter сообщает об этом предупреждение?
rkhunter имеют общую конфигурацию; нет никакого способа узнать, что ты ожидать, что dhcpd будет работать на который конкретная машина - вам нужно сделать некоторую настройку. В разделе 6 часто задаваемых вопросов rkhunter подробно описано, как внести процесс / демон / и т. Д. В белый список.