RKHunter сообщил о процессах, которые используют удаленные файлы или прослушивают в сети

Question

RKHunter сообщил о процессах, которые используют удаленные файлы или прослушивают в сети

Я запустил Rootkit Hunter 1.4.0 на сервере Debian Wheezy, и я смущен выводом.

Я включил все тесты, используя следующую часть конфигурации:

ENABLE_TESTS="all"
DISABLE_TESTS="none"

Вывод следующий:

Warning: The following processes are using deleted files:
  Process: /usr/sbin/mysqld    PID: 2036    File: /tmp/ibi1WkYB
  Process: /usr/sbin/cron    PID: 7468    File: /tmp/tmpf73tnoh
  Process: /bin/dash    PID: 7469    File: /tmp/tmpf73tnoh
  Process: /bin/run-parts    PID: 7470    File: /tmp/tmpf73tnoh
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28542    File: /tmp/wgunicorn-cIAtc2
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28547    File: /tmp/wgunicorn-cIAtc2
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28548    File: /tmp/wgunicorn-cIAtc2
  Process: /var/virtualenvs/project_foo/bin/python    PID: 28549    File: /tmp/wgunicorn-cIAtc2
Warning: Process '/sbin/dhclient' (PID 1328) is listening on the network.

Большинство из них должны быть ложноположительными, но я хотел бы понять, что происходит за этими ложноположительными данными, и исправить тех, кто не является ложноположительными. Этот отчет не появился ниоткуда, у меня были эти строки с самого первого запуска RKHunter.

Об удаленных файлах

RKHunter работает ежедневно через крон, что объясняет, почему /usr/sbin/cron, /bin/run-parts (и возможно /bin/dash тоже?) Появись здесь.

Однако я не понимаю, почему:

1) Все эти удаленные файлы используются процессами. Означает ли этот отчет, что каждый из этих процессов пытается использовать файл, который был удален, или что он в какой-то момент использовал файл, который существовал в то время, но впоследствии был удален? Я считаю, что если ответ является первым вариантом, это может быть проблемой. Можно ли это исправить?

2) 4 процесса одной и той же программы используют один и тот же удаленный файл. Даже если использование удаленного файла является ложным срабатыванием, есть ли в этом отчете что-то, что указывает на то, что эти 4 процесса являются ошибкой (вместо одного)? Я понимаю, что это может быть полностью связано с приложением и что здесь нет ответа из отчета, но я просто пытаюсь понять, почему они здесь. Для получения информации они относятся к веб-приложению, которое выполняется на сервере всего один раз (однопоточное и одноядерное).

О процессе прослушивания

У меня действительно есть DHCP, работающий на этом сервере (из коробки, я не настраивал его и не знаю подробностей о DHCP).

3) Это нормально, что RKHunter сообщает об этом? Если это ложное срабатывание, есть ли очевидная причина, по которой здесь не сообщается о других процессах, прослушивающих сеть (например, sshd...)?

Конечно, я постараюсь предоставить как можно больше информации, если это необходимо, не стесняйтесь спрашивать, если я забыл предоставить конкретные полезные данные.

1

debian security debian-wheezy rkhunter

Источник

astorije 23 апр '14 в 22:53

2 ответа

Другие вопросы по тегам debian security debian-wheezy rkhunter

fukawi2 24 апр '14 в 00:25 2014-04-24 00:25 · Answer 1 · 2014-04-24 00:25

Во-первых, это не "ложные срабатывания". rkhunter сообщает факты; он не применяет никакой интерпретации к этим фактам.

Означает ли этот отчет, что каждый из этих процессов пытается использовать файл, который был удален, или что он в какой-то момент использовал файл, который существовал в то время, но впоследствии был удален?

В отчете показаны процессы, у которых был открыт файл на момент его удаления. Вам необходимо определить, является ли это законным / приемлемым поведением для этих процессов.

... есть ли в этом отчете что-то, что указывает на то, что эти 4 процесса являются ошибкой (вместо одного)?

Как вы думаете, ошибка? Существует 4 отдельных процесса (как показано разными номерами PID), поэтому rkhunter сообщает об этом.

Это нормально, что RKHunter сообщает об этом?

rkhunter поставляется с общей конфигурацией; у него нет возможности узнать, что вы ожидаете, что dhcpd будет работать на этой конкретной машине - вам нужно выполнить некоторую настройку. Раздел 6 часто задаваемых вопросов по rkhunter подробно описывает, как занести в белый список процесс / демон / и т. Д.

Stephen G Tuggy 11 июл '21 в 17:26 2021-07-11 17:26 · Answer 2 · 2021-07-11 17:26

Насколько я могу судить, программы в Unix-подобных системах обычно открывают файл, а затем удаляют его. Вы можете отключить эту проверку (DISABLE_TESTS=deleted_files) в/etc/rkhunter.confили/etc/rkhunter.conf.local.

И насколько я могу судить, это нормально дляdhclientслушать в сети. И/sbin/это обычное расположение этой программы. Поэтому я бы тоже включил dhclient в белый список. (ALLOWPROCLISTEN=/sbin/dhclient)