rkhunter me donne un avertissement pour «/ usr / bin / lwp-request» - que dois-je faire? [Debian 9]

26

Je viens donc d'installer et d' exécuter rkhunter qui me montre vert OKs / Pas trouvé pour tout sauf pour: / usr / bin / lwp-request , comme ceci:

/usr/bin/lwp-request                                     [ Warning ]

Dans le journal, il est écrit:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

J'ai déjà couru rkhunter --propupdet sudo apt-get update && sudo apt-get upgradecela n'a pas aidé. J'ai installé Debian 9.0 il y a quelques jours à peine et je suis un nouveau venu sur Linux.

Des suggestions sur quoi faire?

Edit : De plus chkrootkit me donne ceci:

Les fichiers et répertoires suspects suivants ont été trouvés: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Je suppose que c'est une question distincte? Ou est-ce pas un problème du tout? Je ne sais pas comment vérifier si ces fichiers / répertoires sont corrects et nécessaires.

Edit : Remarque, j'ai également reçu une fois des avertissements pour "Vérifier les modifications du fichier passwd" et "Vérifier les modifications du fichier de groupe" même si je n'ai pas changé un tel afaik. Une analyse antérieure et ultérieure n'a montré aucun avertissement - ceux-ci ne sont apparus qu'une seule fois. Des idées?

debian security rkhunter mYnDstrEAm
la source
1
lwp-requestest censé être un script Perl, c'est donc un étrange avertissement.
derobert
@derobert Vous obtenez alors la même erreur? L'avertissement est également imo qu'il a été remplacé (par un autre script perl je suppose) - pas qu'il s'agit d'un script perl. J'ai copié son contenu ici: pastebin.com/bSLivGvz
mYnDstrEAm
1
Je reçois le même avertissement sur ma boîte de test Debian. Votre pastebin correspond également à ma copie de lwp-request (bien qu'avec les changements de fin de ligne, qui je suppose provenir de pastebin). Je soupçonne donc une fausse alarme.
derobert

Réponses:

25

rkhunter a besoin de savoir quel gestionnaire de paquets vous utilisez.

Créez ou modifiez /etc/rkhunter.conf.localet ajoutez la ligne suivante:

PKGMGR=DPKG

Si vous n'êtes pas sur Debian ou Ubuntu, changez DPKGpour votre gestionnaire de paquets actuel.

De cette façon, rkhuntervous vous attendez à ce que ces exécutables soient des scripts, et ne signalent pas le faux positif.

Il s'assurera que si les fichiers sont falsifiés, un nouveau résultat positif s'affichera.

MacroMan
la source
Génial; mais pourquoi ne puis-je pas le régler sur "APT-GET"? ( question pertinente ) Et qu'est-ce qu'il utilise par défaut pour vérifier les hachages si ce n'est pas DPKG pour Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter ne reconnaît pas apt en tant que gestionnaire de packages. dpkg est également un gestionnaire de packages valide sur tous les systèmes qui ont apt (sauf s'il est supprimé). Je pense que la valeur par défaut est RPM
MacroMan
@MacroMan La valeur par défaut indiquée dans la page de manuel estNONE
Adam Spiers
Les commentaires dans rkhunter.conf indiquent: "# NONE est également la valeur par défaut pour Debian, car exécuter --propupd prend environ 4 fois plus de temps quand il est réglé sur DPKG". Voir: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Il ne semble pas nécessaire de définir l'option PKGMGR
Nadir Latif
1

Il en va de même si l'accès root est activé dans SSH. Vous devez ensuite ajouter

ALLOW_SSH_ROOT_USER=YES

dans votre fichier /etc/rkhunter.conf.local

Antonio J. de Oliveira
la source
0

Comme mentionné sur: https://metacpan.org/pod/lwp-request , la lwp-request est un script qui permet de faire des requêtes http aux serveurs web. Ce n'est pas malveillant et donc l'erreur peut être ignorée.

Pour supprimer l'erreur, vous devez autoriser la commande / usr / bin / lwp-request à être utilisée comme script. Cela peut être fait en ajoutant la ligne:

SCRIPTWHITELIST=/usr/bin/lwp-request

Vers le fichier /etc/rkhunter.conf ou /etc/rkhunter.conf.local . Voir l' option SCRIPTWHITELIST dans le fichier de configuration rkhunter.conf

Cette solution a été mentionnée sur les forums Linux Mint

Nadir Latif
la source
2
Et si quelqu'un réussit à remplacer lwp-request par un script malveillant? Soyez extrêmement prudent en utilisant cette suggestion. Cela vous rend vulnérable!
MacroMan