rkhunter выдает мне предупреждение для «/ usr / bin / lwp-request» - что мне делать? [Debian 9]

26

Поэтому я только что установил и запустил rkhunter, который показывает мне зеленые OKs / Not находит все, кроме: / usr / bin / lwp-request , вот так:

/usr/bin/lwp-request                                     [ Warning ]

В журнале написано:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Я уже побежал, rkhunter --propupdи sudo apt-get update && sudo apt-get upgradeэто не помогло. Я установил Debian 9.0 всего несколько дней назад и являюсь новичком в Linux.

Любые предложения о том, что делать?

Изменить : Кроме того, Chkrootkit дает мне это:

Были обнаружены следующие подозрительные файлы и каталоги: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Я думаю, что это отдельный вопрос? Или это вообще не проблема? Я не знаю, как проверить, что эти файлы / каталоги в порядке и нужны.

Редактировать : Примечание. Однажды я также получил предупреждения для «Проверка изменений файла passwd» и «Проверка изменений файла группы», хотя я не изменял ничего подобного. Раннее и более позднее сканирование не показало никаких предупреждений - они только что показали один раз. Любые идеи?

debian security rkhunter mYnDstrEAm
источник
1
lwp-requestпредполагается, что это скрипт на Perl, так что это странное предупреждение.
Дероберт
@derobert Вы получаете ту же ошибку тогда? Также предупреждение о том, что его заменили (на другой сценарий perl, я думаю), а не о том, что это сценарий perl. Я скопировал его содержимое здесь: pastebin.com/bSLivGvz
mYnDstrEAm
1
Я получаю то же предупреждение на моем тестовом компьютере Debian. Ваш pastebin совпадает с моей копией lwp-запроса (хотя с изменениями в конце строки, которые, я полагаю, произошли от pastebin). Так что я подозреваю ложную тревогу.
Дероберт

Ответы:

25

rkhunter Нужно знать, какой менеджер пакетов вы используете.

Создайте или отредактируйте /etc/rkhunter.conf.localи добавьте следующую строку:

PKGMGR=DPKG

Если вы не используете Debian или Ubuntu, смените DPKGдействительный менеджер пакетов.

Таким образом, вы rkhunterбудете знать, что эти исполняемые файлы будут скриптами, а не помечают ложное срабатывание.

Это гарантирует, что, если файлы будут изменены, тогда появится новый положительный результат.

MacRoman
источник
Большой; но почему я не могу установить его на «APT-GET»? ( соответствующий вопрос ) И что он использует по умолчанию для проверки хэшей, если это не DPKG для Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
МИНСТРОМ
@mYnDstrEAm rkhunter не распознает apt как менеджер пакетов. dpkg также является действительным менеджером пакетов во всех системах, которые имеют apt (если не удалены). Я думаю, что значением по умолчанию является RPM
MacroMan
@MacroMan Значение по умолчанию, указанное на странице руководства,NONE
Адам Спайерс
Комментарии в rkhunter.conf гласят: «# NONE также используется по умолчанию для Debian, так как запуск --propupd занимает примерно в 4 раза больше времени, если он установлен в DPKG». Смотрите: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Кажется, нет необходимости устанавливать опцию PKGMGR
Надир Латиф
1

То же самое, если у вас включен root-доступ в SSH. Затем вы должны добавить

ALLOW_SSH_ROOT_USER=YES

в ваш файл /etc/rkhunter.conf.local

Антонио Х. де Оливейра
источник
0

Как уже упоминалось: https://metacpan.org/pod/lwp-request , lwp-request - это скрипт, который позволяет отправлять http-запросы веб-серверам. Он не является вредоносным, поэтому ошибку можно игнорировать.

Чтобы устранить ошибку, необходимо разрешить использование команды / usr / bin / lwp-request в качестве сценария. Это можно сделать, добавив строку:

SCRIPTWHITELIST=/usr/bin/lwp-request

В файл /etc/rkhunter.conf или /etc/rkhunter.conf.local . См. Параметр SCRIPTWHITELIST в файле конфигурации rkhunter.conf.

Это решение упоминалось на форумах Linux Mint

Надир Латиф
источник
2
А что, если кому-то удастся заменить lwp-запрос вредоносным скриптом? Пожалуйста, будьте особенно осторожны, используя это предложение. Это оставляет вас уязвимым!
MacroMan