Usr bin lwp request warning что это
Проверка Linux на вирусы
Раньше мы уже говорили о вирусах в Linux. Большинство людей считают, что вирусов в Linux нет и кое в чем они правы. Ведь вредоносных программ, которые сами могли бы распространятся по системе и заряжать другие компьютеры в сети минимум. Известные широкой общественности программы такого рода для Linux можно сосчитать на пальцах. Но есть и другой тип угроз, более характерный для Linux. Это руткиты, программы которые устанавливаются вручную и скрывают свою деятельность в системе.
Проверка Linux на вирусы
Чтобы понять не подключался ли кто к вашему компьютеру, вы можете посмотреть содержимое файла /var/log/audit.log или /var/log/secure.
Здесь фиксируются все события в системе, в том числе неудачные попытки входа по ssh. Я был удивлен когда увидел что мой пароль пытались подобрать. Также можно посмотреть логи сервиса sshd с помощью journalctl:
sudo journalctl _SYSTEMD_UNIT=sshd.service
Для поиска руткитов мы будем использовать утилиту rkhunter или RootkitHunter, а также chkrootkit. Мы рассмотрим как ее установить и настроить для правильной проверки. Вообще, я больше склоняюсь к первой, она новее и имеет больше функций.
Поиск вирусов с помощью RkHunter
Установить программу в Ubuntu можно командой:
sudo apt install rkhunter
В CentOS надо выполнить такую команду:
sudo yum install rkhunter
Если у вас другой дистрибутив, вы всегда скачать установочный скрипт на SourceForge:
Перед тем как будет выполнена проверка linux на вирусы, необходимо обновить базу данных утилиты. Для этого выполните:
Теперь необходимо собрать информацию о файлах в системе, это нужно, чтобы программа могла понять пытался ли кто модифицировать системные файлы при следующей проверке. Для этого выполните:
Обновление желательно выполнять регулярно, поэтому давайте создадим специальный скрипт и будем запускать его с помощью cron каждый день. Для этого создайте файл скрипта в папке /etc/cron.daily:
Здесь мы выполняем проверку версии, обновление баз данных и в последней строчке мы запланировали проверку и отправку уведомления вам на Email. Для работы необходимо заменить your@email.com на ваш адрес электронной почты.
Теперь осталось только дать программе права на выполнение:
chmod 755 /etc/cron.daily/rkhunter.sh
С установкой программы разобрались. Сначала давайте рассмотрим основные опции программы которые мы уже использовали, или которые вам могут пригодится:
Например, чтобы посмотреть все руткиты, которые может найти программа выполните:
Для того чтобы проверить Linux на вирусы всю систему выполните от суперпользователя:
Программа кроме вывода информации на экран, создаст лог проверки. На информацию выводимую во время проверки не обращайте большого внимания, она немного урезана все станет более понятнее при просмотре лога.
К сожалению программа работает только на английском, поэтому, чтобы понять в каком состоянии ваша система вам придется немного понимать английский.
Чтобы вам было более понятно что делает программа и как анализировать ее результаты, давайте рассмотрим лог сканирования.
Сначала программа инициализируется и загружает конфигурационные файлы, здесь нет ничего интересного. Заметьте, что мы рассматриваем лог проверки системы, логи обновления и создания базы данных, они находятся выше в этом же файле, нас не интересуют. Проверка системы начинается с этих срок:
Программа сканирует системные утилиты и пытается выявить там подозрительные признаки, в том числе проводится сравнение хеша утилиты с хешем сохраненным в базе данных, чтобы понять не была ли она изменена. Обычно если с утилитами все хорошо лог заполнен такими строками:
Также выполняется проверка параметров файлов, например если файл должен быть бинарным, а он скрипт, то это не порядок:
При обнаружении подозрительного файла программа тут же объясняет в чем с ним проблема. Возможно это ложное срабатывание, однако эти файлы вам стоит проверить или можно переустановить пакеты, которым они пренадлежат.
Дальше будет выполнена проверка Linux на вирусы с поиском известных руткитов:
Обычно, если в этом разделе что-то обнаружено, то это значит, что в системе есть руткит и с этим нужно что-то делать, но обычно мы видим строки Not found (не найдено):
Дальше будет запущен поиск нежелательного программного обеспечения:
Проверка опасных портов:
На этапе проверки конфигурационных файлов мы тоже получаем предупреждение:
Но здесь видно, что проблема не в вирусе, а в том, что программе просто нет с чем сравнивать.
Дальше выполняется проверка настроек системы, и здесь тоже программе не все нравится:
Дальше будет выполнено сканирование файловой системы:
И обнаружено несколько скрытых файлов, но все они, похоже, хорошие. Вы можете отследить какая программа работает с определенным файлом с помощью команды lsof:
sudo lsof | grep /адрес/файла
Осталась проверка приложений:
[12:16:25] Info: Starting test name ‘apps’
[12:16:25] Checking application versions..
И небольшой отчет о найденных проблемах:
Для удобства просмотра лога вы можете не смотреть его полностью, а выбрать только предупреждения:
Параметр A5 означает показывать еще пять строк после строки с обнаруженным вхождением, так мы точно ничего не пропустим.
Теперь давайте рассмотрим еще одну программу с помощью которой может быть выполнена проверка Linux на руткиты. Это chkrootkit. Она мнение функциональна, но тоже хорошо делает свое дело.
Поиск вирусов с помощью Chkrootkit
Программа состоит из нескольких отдельных утилит:
Установить программу в Ubuntu можно с помощью команды:
sudo apt install chkrootkit
Если у вас другой дистрибутив, то вы можете собрать программу из исходников:
В CentOS вам понадобится установить такие библиотеки перед сборкой:
yum install gcc-c++ glibc-static
Команды выполняются без параметров. Достаточно запустить нужную утилиту чтобы найти руткиты linux:
Лог программы немного похож на предыдущую, поэтому мы не будем его отдельно разбирать. Здесь сначала выполняется проверка системных команд, более ограниченная чем в rkhunter, затем поиск руткитов linux.
Аналогично вы можете выполнить другую утилиту, чтобы проверить на модификацию lastlog:
Но, возможно придется создать символическую ссылку на lastlog, чтобы программа смогла его найти.
Выводы
Вот и все. Выполняйте регулярное сканирование Linux, чтобы вовремя выявить все угрозы, особенно это актуально для серверов, которые чаще всего могут подвергаться хакерским атакам. Возможно, руткитов вы не найдете, но зато программы вам сообщат о потенциальных проблемах с безопасностью, которые желательно исправить.
Usr bin lwp request warning что это
Посмотрел, спасибо,вот информация:
Warning: The file properties have changed: File: /usr/bin/wget файл изменен, это ясно, но насколько это опасно для системы?
Warning: The file properties have changed: File: /sbin/ip тоже самое
Warning: The file properties have changed: File: /bin/ip тоже самое
Возможно ли, что после обновления файлы просто изменились и теперь программа ругается?
И что это за подозрительные типы файлов?:
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Rkhunter на что-то намекает.
Антивирус всё ещё не нужен?
[ Rootkit Hunter version 1.4.6 ]
Checking system commands.
Performing ‘strings’ command checks
Checking ‘strings’ command [ OK ]
Performing ‘shared libraries’ checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for sniffer log files [ None found ]
Checking for suspicious directories [ None found ]
Checking for suspicious (large) shared memory segments [ Warning ]
Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/bin/lwp-request [ Warning ]
File properties checks.
Files checked: 145
Suspect files: 1
Rootkit checks.
Rootkits checked : 480
Possible rootkits: 6
Applications checks.
All checks skipped
The system checks took: 1 minute and 23 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
ISPconfig не могу обезопаситься.
Помогите пожалуйста разобраться в логах. Логи пишет, точнее читает ISPconfig. Решил её допилить (панельку). Хочу сделать сервер своими руками. Беспокоит несколько вопросов. Ребят больше никто внятно ответить не может. В том числе интернет. Растолкуйте плиз. Спасибо.
Воспользуйтесь [code]. [/code].
Спасибо, поправил на [код][/код]
Покажите /var/log/rkhunter.log (если там больше, чем 2 экрана текста, загрузите на http://paste.org.ru/)
С хостнеймом всё понятно: нет обратной зоны для этого айпишника. А кто генерирует ворнинги на пароли хз. Я бы предположил что PAM, но лучше посмотреть как у тебя авторизация настроена.
Ну а RKHunter: какие по нему вопросы?
С хостнеймом всё понятно: нет обратной зоны для этого айпишника.
Уважаемый, поясните, как добавить обратную зону?
Скажите как посмотреть можно? Я сервер настраивал по руководству Perfect Server. Вот пытаюсь до ума довести. Заранее спасибо.
написать об этом хостеру
Так, я туплю, это не pam. Там, случайно, не идёт забор почты, скажем, с mail.ru (или другого хостера)? Короче, надо там поменять пароль.
Да с этим я разобрался. Теперь осталось только решить с обратной зоной. И руткит-хантер.
какому именно хостеру надо написать? у которого днс-хостинг моих джоменов?
Нет, который выдаёт IP.
Спасибо. понял, договорился. Сделают. Вопрос по рутхантер остается открытым.
ОК, перевожу все предупреждающие сообщения с английского и даю комментарии.
[23:01:18] /usr/bin/GET [ Warning ]
[23:01:18] Warning: The file ‘/usr/bin/GET’ exists on the system, but it is not present in the rkhunter.dat file.
Файл /usr/bin/GET есть в системе, но rkhunter о нём ничего не знает. Загляните внутрь при помощи less и убедитесь, что это часть пакета LWP (библиотека для работы с WWW из Perl).
[23:01:40] /usr/bin/lwp-request [ Warning ]
[23:01:40] Warning: The file ‘/usr/bin/lwp-request’ exists on the system, but it is not present in the rkhunter.dat file.
[23:01:53] /usr/sbin/inetd [ Warning ]
[23:01:53] Warning: The file ‘/usr/sbin/inetd’ exists on the system, but it is not present in the rkhunter.dat file.
[23:04:48] Checking for passwd file changes [ Warning ]
[23:04:48] Warning: User ‘logon’ has been added to the passwd file.
Был добавлен пользователь logon. Это же Вы его создали, верно?
[23:04:48] Info: Starting test name ‘group_changes’
[23:04:48] Checking for group file changes [ Warning ]
[23:04:49] Warning: Changes found in the group file for group ‘sudo’:
[23:04:49] User ‘logon’ has been added to the group
Пользователь logon был добавлен в группу sudo и теперь может получать права root. Аналогично см. выше.
[23:04:49] Checking if SSH root access is allowed [ Warning ]
[23:04:50] Warning: The SSH and rkhunter configuration options should be the same:
[23:04:50] SSH configuration option ‘PermitRootLogin’: yes
[23:04:50] Rkhunter configuration option ‘ALLOW_SSH_ROOT_USER’: no
Либо запретите вход root’ом по ssh, либо скажите rkhunter, что это нормально.
[23:04:51] Checking for hidden files and directories [ Warning ]
[23:04:52] Warning: Hidden directory found: /dev/.udev
[23:04:52] Warning: Hidden directory found: /dev/.initramfs
/dev/.udev когда-то была необходима для работы udev. Загляните внутрь и убедитесь.
[23:04:53] Info: End date is Чтв Дек 15 23:04:53 ALMT 2011
После этой строчки я не читал, но будет наверняка всё то же самое. Вы же теперь сможете прочитать этот файл самостоятельно?
Thread: rkhunter warnings.
Thread Tools
Display
rkhunter warnings.
Re: rkhunter warnings.
Been a while since I’ve used rkhunter, but I think you need to run
Re: rkhunter warnings.
Re: rkhunter warnings.
Might want to take a look at /var/log/rkhunter.log
Re: rkhunter warnings.
Re: rkhunter warnings.
Re: rkhunter warnings.
Re: rkhunter warnings.
Yes, beginners seem to be often confused with rkhunter. So, I’ll try to explain. First of all, you must understand what rkhunter does and what it doesn’t. Yes, rkhunter checks system for several known rootkits. But it’s primary purpose is to check system state against previously collected database of properties. So, if any file listed in this database gets changed, rkhunter throws a warning. Most of times it indicates that certain programs were changed as result of installing updates, not malicious actions.
This command just updates properties database with current state of system:
If you don’t want rkhunter to spit false warnings due to updates, you must do following:
1. Before installing any updates, run a rkhunter check:
2. If there is no warnings on file properties scan phase, there’s nothing to worry about. You can install the updates.
3. Now update properties database with this command to prevent rkhunter from treating newly installed updates as suspicious changes and spitting warnings:
Now, about these warnings:
First line doesn’t look right at all. It must be a bug. Unhide.rb is not a command, it’s a ruby script. Probably, rkhunter assumes that everything inside /usr/bin is a binary file. Ergo, there is nothing wrong with unhide.rb. All next lines are just false positives. Three last lines appear on my system, too. And file /dev/.udev/rules.d/root.rules is just result of existence of /dev/.udev.
To sum it up, there’s nothing looks off place, looks like your system is safe.
Re: rkhunter warnings.
Yes, beginners seem to be often confused with rkhunter. So, I’ll try to explain. First of all, you must understand what rkhunter does and what it doesn’t. Yes, rkhunter checks system for several known rootkits. But it’s primary purpose is to check system state against previously collected database of properties. So, if any file listed in this database gets changed, rkhunter throws a warning. Most of times it indicates that certain programs were changed as result of installing updates, not malicious actions.
This command just updates properties database with current state of system:
If you don’t want rkhunter to spit false warnings due to updates, you must do following:
1. Before installing any updates, run a rkhunter check:
2. If there is no warnings on file properties scan phase, there’s nothing to worry about. You can install the updates.
3. Now update properties database with this command to prevent rkhunter from treating newly installed updates as suspicious changes and spitting warnings:
Now, about these warnings:
First line doesn’t look right at all. It must be a bug. Unhide.rb is not a command, it’s a ruby script. Probably, rkhunter assumes that everything inside /usr/bin is a binary file. Ergo, there is nothing wrong with unhide.rb. All next lines are just false positives. Three last lines appear on my system, too. And file /dev/.udev/rules.d/root.rules is just result of existence of /dev/.udev.
To sum it up, there’s nothing looks off place, looks like your system is safe.
Usr bin lwp request warning что это
chkrootkit (0.50-3.2) unstable; urgency=medium
.
— Artur Rona Sun, 06 Sep 2015 21:48:14 +0200
$ chkrootkit
/usr/sbin/chkrootkit need root privileges
bums@bums-Aspire-E1-571G
Checking system commands.
Performing ‘strings’ command checks
Checking ‘strings’ command [ OK ]
Performing ‘shared libraries’ checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/curl [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/pkill [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/ssh [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/telnet [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/gawk [ OK ]
/usr/bin/lwp-request [ Warning ]
/usr/bin/x86_64-linux-gnu-size [ OK ]
/usr/bin/x86_64-linux-gnu-strings [ OK ]
/usr/bin/telnet.netkit [ OK ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ping [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/kmod [ OK ]
/bin/systemd [ OK ]
/bin/systemctl [ OK ]
/bin/dash [ OK ]
/lib/systemd/systemd [ OK ]
Checking for rootkits.
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Suspicious Shared Memory segments [ None found ]
Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]
Checking the network.
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Checking the local host.
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ None found ]
Performing system configuration file checks
Checking for an SSH configuration file [ Not found ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
File properties checks.
Files checked: 143
Suspect files: 1
Rootkit checks.
Rootkits checked : 365
Possible rootkits: 0
Applications checks.
All checks skipped
The system checks took: 11 minutes and 17 seconds