rkhunter警告信息

Question

我在服务器上执行了rkhunter -c，并收到了关于以下文件的警告：

/bin/GET
/bin/wget
/usr/local/bin/rkhunter

Performing trojan specific checks
Checking for enabled xinetd services                     [ Warning ]
Checking for Apache backdoor                             [ Not found ]

你能给我一些建议吗?如何处理这些文件？

另外，为什么rkhunter会给自己一个警告呢？

提前谢谢你！

Answer 1

无论如何，我不是猎手专家，但他们是一些我想知道的事情。你是否用已知的好包在新的安装上安装了rkhunter？我相信你应该在一个新系统上安装然后运行，

rkhunter --propupd

这样它就可以用已知的好文件建立数据库了。然后，当你在那之后，它也知道如何比较它。我现在也会用“--报告-警告-只有”的标志运行rkhunter。如果日志真的很长的话，最好是把rkhunter的日志发布出来，然后把它们粘贴到pastebin。我也会验证我的所有软件包是好的，这将非常取决于您运行的发行版。你有理由要找根包吗？

Answer 2

那些档案

/bin/GET
/bin/wget
/usr/local/bin/rkhunter

所有文件都应该在那里(虽然GET通常在/usr/bin中)。wget是Linux的一个正常部分，也是一个有用的程序。很明显，有些rootkit会利用它，并且可能有时自己也会使用它。我在Windows PC上安装了wget，AVG经常将其报告为可疑文件。

除非你有其他证据证明有根袋，否则我不会太担心。您可以将这些文件的校验和或散列与预期值进行比较--但请记住，如果您的计算机严重受损，校验和可能是伪造的。

我将检查xinetd配置文件，并禁用当前未使用的任何服务。