[linux] Re: geroot?
Daniel von Asmuth
asmuth op bakunin.xs4all.nl
Di Okt 15 12:40:46 CEST 2013
Aldus schreef paai op Mon, Oct 14, 2013 at 09:25:32AM +0200:
>
> Hoi,
> bij mijn laatste rkhunter-check zag ik een hele hoop warnings op commandos in /usr/bin. Bovendien een vreemde entry in /etc/passwd
> met de inhoud '$:x:1003:1003:Comment:/dev/null:/dev/null'
>
> Nu weet ik dat rkhunter af en toe false positives geeft, en als letterlijk iedere file in /bin, /usr/bin en /sbin is veranderd, denk ik toch eerder aan een probleem bij een update dan aan een rootkit. Maar die user met de naam '$' zit me niet lekker.
>
> Een tweede systeem in hetzelfde netwerk geeft wel dezelfde warnings op de /bin /sbin en /usr/bin files, maar geen verdachte user in /etc/passwd
>
> Iemand suggesties, behalve een hele nieuwe installatie?
>
> Paai
Als dat tooltje aangeeft dat elke binaire file is veranderd sinds de
laatste controle, dan is de vraag of u recent een grote update van uw
OS hebt uitgevoerd. Zo ja, dan is er wellicht niets aan de hand.
Een rare regel in /etc/passwd, maar wel zodanig dat er niemand mee kan
inloggen (controleer of $ ook /etc/shadow voorkomt). Hoe lang staat die
rare entry al in /etc/passwd?
Ik durf geen harde conclusies te trekken. Is er in de log files van uw systeem
nog iets vreemds te zien?
Suc6,
Daniel
More information about the Linux
mailing list