Merhaba, 2013/05/30 Özgür Kılıçaslan <[email protected]>: >İki adet AWS sunucusu var. >Birisi small instance, diğeri micro. >İkisi de Ubuntu 12.04.2 LTS >İkisinde de [ Rootkit Hunter version 1.3.8 ] >İkisinde de coreutils 8.13-3ubuntu3 >
Yakın zamanda ilk makinede güncelleme yaptınız mı? rkhunter programının
FAQ dosyasında[1] belirtildiği üzere güncellemeler rkhunter'ın yalancı
pozitifler üretmesiyle sonuçlanabilir.
Small Instance'da neler olduğunu anlamak için verilen uyarıların nedeni
hakkında daha fazla bilgi gerekir. Eğer bu uyarılar yukarıda bahsedilen
yalancı pozitiflerin ürünü değilse yine FAQ dosyasında yer alan 3.1
sayılı sorunun cevabında belirtilen adımları izleyebilirsiniz. Özetle bu
adımlar şöyledir:
1. Aide, samhain veya tripwire türünde bir dosya bütünlüğü denetleyicisi
kullanıyorsanız bu araçların verdiği sonuçlarla rkhunter'ın verdiği
sonuçları karşılaştırın.
2. Eğer dağıtımın (bu durumda Ubuntu'nun) paket yöneticisini
kullanıyorsanız bu yöneticinin herhangi bir doğrulama yapıp
yapmadığından emin olun.
3. Şüpheli dosyalarda güvenilir olmayan dizin yolları arayın.
(metin dosyaları için 'grep', ikili dosyalar için de 'strings'
komutları kullanılabilir.)
4. Son güncellenen programların kaynaklarını kontrol edin.
5. Şüpheli dosyalar arasındaki programlar üzerinde 'file' komutunu
çalıştırarak statik bağlanıp bağlanmadıklarını kontrol edin. statik
bağlanmış olmaları trojanlı oldukları yönünde bir işaret olabilir.
Son olarak da rkhunter'ın son sürümü olan 1.4.0 ile deneyebilirsiniz
ancak daha fazla detay olmadan sorunun ne olduğunu söylemek zor.
Kolay gele...
[1]:
http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ?view=markup
-alip
>
>Small Instance olanın dosya kontrol sonuçları
>
> Performing file properties checks
> Checking for prerequisites [ Warning ]
> /usr/sbin/adduser [ OK ]
> /usr/sbin/chroot [ Warning ]
> /usr/sbin/cron [ OK ]
> /usr/sbin/groupadd [ Warning ]
> /usr/sbin/groupdel [ Warning ]
> /usr/sbin/groupmod [ Warning ]
> /usr/sbin/grpck [ Warning ]
> /usr/sbin/inetd [ Warning ]
> /usr/sbin/nologin [ Warning ]
> /usr/sbin/pwck [ Warning ]
> /usr/sbin/rsyslogd [ Warning ]
> /usr/sbin/tcpd [ OK ]
> /usr/sbin/useradd [ Warning ]
> /usr/sbin/userdel [ Warning ]
> /usr/sbin/usermod [ Warning ]
> /usr/sbin/vipw [ Warning ]
> /usr/bin/awk [ OK ]
> /usr/bin/basename [ Warning ]
> /usr/bin/chattr [ OK ]
> /usr/bin/curl [ Warning ]
> /usr/bin/cut [ Warning ]
> /usr/bin/diff [ OK ]
> /usr/bin/dirname [ Warning ]
> /usr/bin/dpkg [ Warning ]
> /usr/bin/dpkg-query [ Warning ]
> /usr/bin/du [ Warning ]
> /usr/bin/env [ Warning ]
> /usr/bin/file [ OK ]
> /usr/bin/find [ OK ]
> /usr/bin/GET [ Warning ]
> /usr/bin/groups [ Warning ]
> /usr/bin/head [ Warning ]
> /usr/bin/id [ Warning ]
> /usr/bin/killall [ OK ]
> /usr/bin/last [ OK ]
> /usr/bin/lastlog [ Warning ]
> /usr/bin/ldd [ Warning ]
> /usr/bin/less [ OK ]
> /usr/bin/locate [ OK ]
> /usr/bin/logger [ OK ]
> /usr/bin/lsattr [ OK ]
> /usr/bin/lsof [ OK ]
> /usr/bin/lynx [ Warning ]
> /usr/bin/md5sum [ Warning ]
> /usr/bin/mlocate [ OK ]
> /usr/bin/newgrp [ Warning ]
> /usr/bin/passwd [ Warning ]
> /usr/bin/perl [ Warning ]
> /usr/bin/pgrep [ Warning ]
> /usr/bin/pstree [ OK ]
> /usr/bin/rkhunter [ OK ]
> /usr/bin/runcon [ Warning ]
> /usr/bin/sha1sum [ Warning ]
> /usr/bin/sha224sum [ Warning ]
> /usr/bin/sha256sum [ Warning ]
> /usr/bin/sha384sum [ Warning ]
> /usr/bin/sha512sum [ Warning ]
> /usr/bin/size [ OK ]
> /usr/bin/sort [ Warning ]
> /usr/bin/stat [ Warning ]
> /usr/bin/strace [ OK ]
> /usr/bin/strings [ OK ]
> /usr/bin/sudo [ Warning ]
> /usr/bin/tail [ Warning ]
> /usr/bin/test [ Warning ]
> /usr/bin/top [ Warning ]
> /usr/bin/touch [ Warning ]
> /usr/bin/tr [ Warning ]
> /usr/bin/uniq [ Warning ]
> /usr/bin/users [ Warning ]
> /usr/bin/vmstat [ Warning ]
> /usr/bin/w [ OK ]
> /usr/bin/watch [ Warning ]
> /usr/bin/wc [ Warning ]
> /usr/bin/wget [ OK ]
> /usr/bin/whatis [ Warning ]
> /usr/bin/whereis [ OK ]
> /usr/bin/which [ OK ]
> /usr/bin/who [ Warning ]
> /usr/bin/whoami [ Warning ]
> /usr/bin/unhide.rb [ Warning ]
> /usr/bin/mawk [ OK ]
> /usr/bin/lwp-request [ Warning ]
> /usr/bin/w.procps [ Warning ]
> /sbin/depmod [ OK ]
> /sbin/fsck [ OK ]
> /sbin/ifconfig [ OK ]
> /sbin/ifdown [ OK ]
> /sbin/ifup [ OK ]
> /sbin/init [ Warning ]
> /sbin/insmod [ OK ]
> /sbin/ip [ OK ]
> /sbin/lsmod [ OK ]
> /sbin/modinfo [ OK ]
> /sbin/modprobe [ OK ]
> /sbin/rmmod [ OK ]
> /sbin/route [ OK ]
> /sbin/runlevel [ Warning ]
> /sbin/sulogin [ OK ]
> /sbin/sysctl [ Warning ]
> /bin/bash [ Warning ]
> /bin/cat [ Warning ]
> /bin/chmod [ Warning ]
> /bin/chown [ Warning ]
> /bin/cp [ Warning ]
> /bin/date [ Warning ]
> /bin/df [ Warning ]
> /bin/dmesg [ OK ]
> /bin/echo [ Warning ]
> /bin/ed [ OK ]
> /bin/egrep [ OK ]
> /bin/fgrep [ OK ]
> /bin/fuser [ OK ]
> /bin/grep [ OK ]
> /bin/ip [ OK ]
> /bin/kill [ Warning ]
> /bin/less [ OK ]
> /bin/login [ Warning ]
> /bin/ls [ Warning ]
> /bin/lsmod [ OK ]
> /bin/mktemp [ Warning ]
> /bin/more [ OK ]
> /bin/mount [ OK ]
> /bin/mv [ Warning ]
> /bin/netstat [ OK ]
> /bin/ps [ Warning ]
> /bin/pwd [ Warning ]
> /bin/readlink [ Warning ]
> /bin/sed [ OK ]
> /bin/sh [ Warning ]
> /bin/su [ Warning ]
> /bin/touch [ Warning ]
> /bin/uname [ Warning ]
> /bin/which [ OK ]
>
>
>
>Micro Instance olanın dosya kontrol sonuçları
> Performing file properties checks
> Checking for prerequisites [ OK ]
> /usr/sbin/adduser [ OK ]
> /usr/sbin/chroot [ OK ]
> /usr/sbin/cron [ OK ]
> /usr/sbin/groupadd [ OK ]
> /usr/sbin/groupdel [ OK ]
> /usr/sbin/groupmod [ OK ]
> /usr/sbin/grpck [ OK ]
> /usr/sbin/nologin [ OK ]
> /usr/sbin/pwck [ OK ]
> /usr/sbin/rsyslogd [ OK ]
> /usr/sbin/tcpd [ OK ]
> /usr/sbin/useradd [ OK ]
> /usr/sbin/userdel [ OK ]
> /usr/sbin/usermod [ OK ]
> /usr/sbin/vipw [ OK ]
> /usr/bin/awk [ OK ]
> /usr/bin/basename [ OK ]
> /usr/bin/chattr [ OK ]
> /usr/bin/curl [ OK ]
> /usr/bin/cut [ OK ]
> /usr/bin/diff [ OK ]
> /usr/bin/dirname [ OK ]
> /usr/bin/dpkg [ OK ]
> /usr/bin/dpkg-query [ OK ]
> /usr/bin/du [ OK ]
> /usr/bin/env [ OK ]
> /usr/bin/file [ OK ]
> /usr/bin/find [ OK ]
> /usr/bin/groups [ OK ]
> /usr/bin/head [ OK ]
> /usr/bin/id [ OK ]
> /usr/bin/killall [ OK ]
> /usr/bin/last [ OK ]
> /usr/bin/lastlog [ OK ]
> /usr/bin/ldd [ OK ]
> /usr/bin/less [ OK ]
> /usr/bin/locate [ OK ]
> /usr/bin/logger [ OK ]
> /usr/bin/lsattr [ OK ]
> /usr/bin/lsof [ OK ]
> /usr/bin/lynx [ OK ]
> /usr/bin/md5sum [ OK ]
> /usr/bin/mlocate [ OK ]
> /usr/bin/newgrp [ OK ]
> /usr/bin/passwd [ OK ]
> /usr/bin/perl [ OK ]
> /usr/bin/pgrep [ OK ]
> /usr/bin/pstree [ OK ]
> /usr/bin/rkhunter [ OK ]
> /usr/bin/runcon [ OK ]
> /usr/bin/sha1sum [ OK ]
> /usr/bin/sha224sum [ OK ]
> /usr/bin/sha256sum [ OK ]
> /usr/bin/sha384sum [ OK ]
> /usr/bin/sha512sum [ OK ]
> /usr/bin/size [ OK ]
> /usr/bin/sort [ OK ]
> /usr/bin/stat [ OK ]
> /usr/bin/strace [ OK ]
> /usr/bin/strings [ OK ]
> /usr/bin/sudo [ OK ]
> /usr/bin/tail [ OK ]
> /usr/bin/test [ OK ]
> /usr/bin/top [ OK ]
> /usr/bin/touch [ OK ]
> /usr/bin/tr [ OK ]
> /usr/bin/uniq [ OK ]
> /usr/bin/users [ OK ]
> /usr/bin/vmstat [ OK ]
> /usr/bin/w [ OK ]
> /usr/bin/watch [ OK ]
> /usr/bin/wc [ OK ]
> /usr/bin/wget [ OK ]
> /usr/bin/whatis [ OK ]
> /usr/bin/whereis [ OK ]
> /usr/bin/which [ OK ]
> /usr/bin/who [ OK ]
> /usr/bin/whoami [ OK ]
> /usr/bin/unhide.rb [ Warning ]
> /usr/bin/mawk [ OK ]
> /usr/bin/w.procps [ OK ]
> /sbin/depmod [ OK ]
> /sbin/fsck [ OK ]
> /sbin/ifconfig [ OK ]
> /sbin/ifdown [ OK ]
> /sbin/ifup [ OK ]
> /sbin/init [ OK ]
> /sbin/insmod [ OK ]
> /sbin/ip [ OK ]
> /sbin/lsmod [ OK ]
> /sbin/modinfo [ OK ]
> /sbin/modprobe [ OK ]
> /sbin/rmmod [ OK ]
> /sbin/route [ OK ]
> /sbin/runlevel [ OK ]
> /sbin/sulogin [ OK ]
> /sbin/sysctl [ OK ]
> /bin/bash [ OK ]
> /bin/cat [ OK ]
> /bin/chmod [ OK ]
> /bin/chown [ OK ]
> /bin/cp [ OK ]
> /bin/date [ OK ]
> /bin/df [ OK ]
> /bin/dmesg [ OK ]
> /bin/echo [ OK ]
> /bin/ed [ OK ]
> /bin/egrep [ OK ]
> /bin/fgrep [ OK ]
> /bin/fuser [ OK ]
> /bin/grep [ OK ]
> /bin/ip [ OK ]
> /bin/kill [ OK ]
> /bin/less [ OK ]
> /bin/login [ OK ]
> /bin/ls [ OK ]
> /bin/lsmod [ OK ]
> /bin/mktemp [ OK ]
> /bin/more [ OK ]
> /bin/mount [ OK ]
> /bin/mv [ OK ]
> /bin/netstat [ OK ]
> /bin/ps [ OK ]
> /bin/pwd [ OK ]
> /bin/readlink [ OK ]
> /bin/sed [ OK ]
> /bin/sh [ OK ]
> /bin/su [ OK ]
> /bin/touch [ OK ]
> /bin/uname [ OK ]
> /bin/which [ OK ]
> /bin/dash [ OK ]
>
>Small Instance'da neler oluyor acaba?
>
>--
>*Görünenler*, *gerçek olsaydı bilime* gerek kalmazdı.
_______________________________________________
Linux-guvenlik mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
Liste kurallari: http://liste.linux.org.tr/kurallar.php
