Cześć wszystkim. Mam dziwne problemy z Fedorą 13. Po instalacji z płyty DVD, wstępnej konfiguracji (fstab z [nodev,nosuid...], limits.conf, hosts.allow, hosts.deny, pam, login.defs, iptables etc.) i aktualizacji, ciągle dostaję alerty z rkhunter dotyczące właśnie tego rootkita. Wcześniej dotyczył one Suckit. Chodzi o to, że plik /tmp/.bash_history (.history_bash ?), który jest ukryty jest - niby - tym rootkitem. Wczoraj poddałem go edycji i z tego co pamiętam w treści było zaledwie kilka linijek; /etc/security/limits.conf
fsck
/etc/security/limits.conf
nano
Po usunięciu i ponownym skanowaniu, alert ten nie pojawił się (Possible rootkit: rootkit Lite5r). Chkrootkit nie pokazuje niczego. W jaki sposób sprawdzić czy system jest naprawdę czysty, a rkhunter po prostu się myli? W ciągu ostatnich dni reinstalowałem system kilkukrotnie ze względu właśnie na rootkit'y - to chyba najpewniejszy sposób na nie - nigdy nie wiadomo czy nie zostały jakieś "otwarte drzwi". Dodam jeszcze, że F13 służy jako desktop bez żadnych serwerów (www, samba, ftp etc.) Nic z tych rzeczy. Czyżby wśród pakietów na plycie było coś ukrytego?
Nie opisałem tego problemu w dziale nt. Fedory, bo ten wydał mi się odpowiedniejszy :-) Pozdrawiam.
Panie Kraszewski, mam podobne zdanie jeśli chodzi o sprawdzanie systemu, który chwilę wcześniej był/jest prawdopodobnie skompromitowany. Jednak w przypadku jakiegokolwiek alertu ze strony rkhunter'a czy też chkrootkit'a człowiek zawsze stara się sprawdzać dalej i dalej...;-)
O systemie livecd pomyślałem już wcześniej. Zassałem Knoppix'a STD, ale podczas próby załadowania dostaję errory typu; nie znany format plików (?), dostępna konsola tylko z tymi poleceniami: mount, umount - i jeszcze jakieś trzy, cztery polecenia, których nie pamiętam, a które na pewno nie służą do sprawdzenia bezpieczeństwa systemu. Miałem również pod ręką wersję live Fedory z xfce, ale na niej nie ma chyba narzędzi, które mogły by pomóc. Z resztą i tak był problem z załadowniem; mount: unknown filesystem type 'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
Can't mount root file system
Boot was failed, sleeping forever
Dziwna sprawa.