¿Qué tipo de pasos podemos tomar para verificar definitivamente que un informe de rkhunter dado es un falso positivo?

Navega tus respuestas
4

Entre otras medidas, tenemos rkhunter funcionando en un par de servidores.

rkhunter en ambos servidores informó un "archivo sospechoso". Específicamente: 

Warning: Suspicious file types found in /dev:
     /dev/shm/R1Soft-SHM-ZocPNFWuCcEl2rrN: data

Esto corresponde a una actualización del paquete regular para R1Soft desde justo antes de que apareciera esta alerta. Sin embargo, rpm -qf indica que este archivo no es propiedad de ningún paquete.

Estoy razonablemente satisfecho de que esto sea un falso positivo, dado que el tiempo se corresponde con una actualización del paquete de una parte del software principal, y lo hizo de manera idéntica en dos servidores no conectados. La pequeña duda que tengo es que realmente han pasado unos días y no veo a nadie más que informe sobre el mismo problema.

Mi pregunta principal es:
¿Qué tipo de pasos podemos tomar para verificar definitivamente que se trata de un falso positivo?

Si podemos hacer eso, con gusto lo pondré en una lista blanca en rkhunter.

    
pregunta SCruz 25.12.2016 - 16:55
fuente

1 respuesta

2

¿Por qué tienes rkhunter scan / dev?

Si rkhunter funciona calculando un hash en cada archivo en un directorio y luego comparando los resultados de hash recientes con una base de datos de hashes originales, AND / dev es el directorio de su dispositivo (por lo que es un sistema de archivos no normal) , entonces / dev / shm es un dispositivo de memoria compartida y no un archivo estático.

Por supuesto, un hash en / dev / shm (memoria compartida) podría estar siempre cambiando y produciendo alertas, ya que puede que no sean datos estáticos. Como lo que está almacenado en ese dispositivo de memoria compartida cambia, también cambiará su hash calculado.

Considere prohibir que rkhunter escanee algunos de estos directorios de sistemas de archivos no normales en Linux (como / dev) agregando / dev a la lista de exclusión.

Esto tiene muy poco que ver con tu actualización de yum.

    
respondido por el user34445 26.12.2016 - 21:17
fuente

Lea otras preguntas en las etiquetas

¿Qué significa mov qword rbx, '// bin / sh'? ¿Qué tan bueno es EMET para proteger Windows y debo habilitarlo para cada aplicación?