O rkhunter me dá um aviso para "/ usr / bin / lwp-request" - o que devo fazer? [Debian 9]

26

Então, eu apenas instalei e executei o rkhunter, que mostra OKs verdes / Não encontrado para tudo, exceto: / usr / bin / lwp-request , assim:

/usr/bin/lwp-request                                     [ Warning ]

No log, ele diz:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Eu já corri rkhunter --propupde o sudo apt-get update && sudo apt-get upgradeque não ajudou. Instalei o Debian 9.0 há apenas alguns dias e sou iniciante no Linux.

Alguma sugestão sobre o que fazer?

Edit : Além disso chkrootkit me dá isso:

Foram encontrados os seguintes arquivos e diretórios suspeitos: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Eu acho que é uma pergunta separada? Ou isso não é problema? Não sei como verificar se esses arquivos / diretórios estão ok e são necessários.

Editar : Nota: Uma vez, também recebi avisos para "Verificando alterações no arquivo passwd" e "Verificando alterações no arquivo de grupo", mesmo que eu não tenha alterado esse tipo de alteração. Uma varredura anterior e posterior não mostrava avisos - eram mostrados apenas uma vez. Alguma ideia?

debian security rkhunter mYnDstrEAm
fonte
11
lwp-requestdeve ser um script Perl, então esse é um aviso estranho.
derobert
@derobert Você recebe o mesmo erro então? Também o aviso é imo sobre ter sido substituído (para outro script perl, eu acho) - não sobre ser um script perl. Copiei seu conteúdo aqui: pastebin.com/bSLivGvz
mYnDstrEAm
11
Eu recebo o mesmo aviso na minha caixa de teste do Debian. Seu pastebin também corresponde à minha cópia do lwp-request (embora com alterações no final da linha, que eu presumo terem vindo do pastebin). Então, eu suspeito de falso alarme.
derobert

Respostas:

25

rkhunter precisa saber qual gerenciador de pacotes você está usando.

Crie ou edite /etc/rkhunter.conf.locale adicione a seguinte linha:

PKGMGR=DPKG

Se você não está no Debian ou Ubuntu, mude DPKGpara o seu gerenciador de pacotes real.

Dessa forma, rkhuntersaberá esperar que esses executáveis ​​sejam scripts e não sinalize o falso positivo.

Isso garantirá que, se os arquivos forem violados, um novo resultado positivo será exibido.

MacroMan
fonte
Ótimo; mas por que não consigo defini-lo como "APT-GET"? ( pergunta relevante ) E o que ele está usando por padrão para verificar os hashes se esse não é o DPKG para Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm 15/03
@mYnDstrEAm O rkhunter não reconhece o apt como um gerenciador de pacotes. O dpkg também é um gerenciador de pacotes válido em todos os sistemas que possuem o apt (a menos que seja removido). Eu acho que o valor padrão é RPM
MacroMan 15/03
@MacroMan O valor padrão indicado na página de manual éNONE
Adam Spiers
Os comentários em rkhunter.conf afirmam: "# NONE também é o padrão para o Debian, pois a execução de --propupd leva cerca de 4 vezes mais quando é definida como DPKG". Consulte: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Parece que não há necessidade de definir a opção PKGMGR
Nadir Latif
1

O mesmo se você tiver acesso root ativado no SSH. Você deve adicionar

ALLOW_SSH_ROOT_USER=YES

no seu arquivo /etc/rkhunter.conf.local

Antonio J. de Oliveira
fonte
0

Conforme mencionado em: https://metacpan.org/pod/lwp-request , o lwp-request é um script que permite fazer solicitações HTTP para servidores da Web. Não é malicioso e, portanto, o erro pode ser ignorado.

Para suprimir o erro, você precisa permitir que o comando / usr / bin / lwp-request seja usado como um script. Isso pode ser feito adicionando a linha:

SCRIPTWHITELIST=/usr/bin/lwp-request

Para /etc/rkhunter.conf ou /etc/rkhunter.conf.local arquivo. Veja a opção SCRIPTWHITELIST no arquivo de configuração rkhunter.conf

Esta solução foi mencionada nos fóruns do Linux Mint

Nadir Latif
fonte
2
E se alguém conseguir substituir o lwp-request por um script malicioso? Por favor, seja extremamente cauteloso ao usar esta sugestão. Isso deixa você vulnerável!
MacroMan 23/08