aviso do rkhunter sobre /etc/.java /etc/.udev /etc/.initramfs

25

Estou executando o Ubuntu 10.04.1 LTS. Estou executando o rkhunter para verificar rootkits.

O rkhunter está reclamando dos seguintes arquivos e diretórios ocultos. Acho que esses arquivos não são um problema real no meu sistema, mas como posso verificar se esses arquivos são legítimos?

[07:57:45]   Checking for hidden files and directories       [ Warning ]
[07:57:45] Warning: Hidden directory found: /etc/.java
[07:57:45] Warning: Hidden directory found: /dev/.udev
[07:57:45] Warning: Hidden directory found: /dev/.initramfs

Atualizar

Acontece que esses diretórios são mencionados especificamente em /etc/rkhunter.conf, o que sugere que esta é uma pergunta frequente ao rkhunter. Do rkhunter.conf:

#
# Allow the specified hidden directories.
# One directory per line (use multiple ALLOWHIDDENDIR lines).
#
#ALLOWHIDDENDIR=/etc/.java
#ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
#ALLOWHIDDENDIR=/dev/.static
#ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
#ALLOWHIDDENDIR=/dev/.mdadm
Stefan Lasiewski
fonte

Respostas:

25

Pergunte basicamente ao Google, mas esses 3 não são perigosos!

/etc/.java é criado pelo sun-java (e possível também pelo OpenJDK) /dev/.udev é criado pelo daemon udevd /dev/.initramfs é se eu me lembro corretamente onde o sistema de arquivos ram inicial foi montado durante a inicialização do sistema processo.

LassePoulsen
fonte
2
+1 Você também obtém falsos positivos semelhantes no chkrootkit. Isso ocorre porque o rkhunter está configurado para tratar os diretórios ocultos como suspeitos.
Richard Holloway