avertissement de rkhunter à propos de /etc/.java /etc/.udev /etc/.initramfs

25

J'utilise Ubuntu 10.04.1 LTS. J'utilise rkhunter pour vérifier les rootkits.

rkhunter se plaint des fichiers et répertoires cachés suivants. Je pense que ces fichiers ne sont pas un vrai problème sur mon système, mais comment puis-je vérifier si ces fichiers sont des fichiers légitimes?

[07:57:45]   Checking for hidden files and directories       [ Warning ]
[07:57:45] Warning: Hidden directory found: /etc/.java
[07:57:45] Warning: Hidden directory found: /dev/.udev
[07:57:45] Warning: Hidden directory found: /dev/.initramfs

Mise à jour

Il s'avère que ces répertoires sont spécifiquement mentionnés dans /etc/rkhunter.conf, ce qui suggère qu'il s'agit d'une question rkhunter fréquemment posée. De rkhunter.conf:

#
# Allow the specified hidden directories.
# One directory per line (use multiple ALLOWHIDDENDIR lines).
#
#ALLOWHIDDENDIR=/etc/.java
#ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
#ALLOWHIDDENDIR=/dev/.static
#ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
#ALLOWHIDDENDIR=/dev/.mdadm
Stefan Lasiewski
la source

Réponses:

25

En gros demandez à Google, mais ces 3 ne sont pas dangereux!

/etc/.java est créé par sun-java (et possible aussi par OpenJDK) /dev/.udev est créé par le démon udevd /dev/.initramfs si je me souviens bien où le système de fichiers ram initial est monté lors du démarrage du système processus.

LassePoulsen
la source
2
+1 Vous obtenez également des faux positifs similaires dans chkrootkit. C'est parce que rkhunter est configuré pour traiter les répertoires cachés comme suspects.
Richard Holloway