advertencia de rkhunter sobre /etc/.java /etc/.udev /etc/.initramfs

25

Estoy ejecutando Ubuntu 10.04.1 LTS. Estoy ejecutando rkhunter para buscar rootkits.

rkhunter se queja de los siguientes archivos y directorios ocultos. Creo que estos archivos no son un problema real en mi sistema, pero ¿cómo puedo verificar si estos archivos son legítimos?

[07:57:45]   Checking for hidden files and directories       [ Warning ]
[07:57:45] Warning: Hidden directory found: /etc/.java
[07:57:45] Warning: Hidden directory found: /dev/.udev
[07:57:45] Warning: Hidden directory found: /dev/.initramfs

Actualizar

Resulta que estos directorios se mencionan específicamente en /etc/rkhunter.conf, lo que sugiere que esta es una pregunta frecuente sobre rkhunter. Desde rkhunter.conf:

#
# Allow the specified hidden directories.
# One directory per line (use multiple ALLOWHIDDENDIR lines).
#
#ALLOWHIDDENDIR=/etc/.java
#ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
#ALLOWHIDDENDIR=/dev/.static
#ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
#ALLOWHIDDENDIR=/dev/.mdadm
Stefan Lasiewski
fuente

Respuestas:

25

Básicamente pregunta a Google, ¡pero esos 3 no son peligrosos!

/etc/.java es creado por sun-java (y posiblemente también por OpenJDK) /dev/.udev es creado por el demonio udevd /dev/.initramfs es si recuerdo correctamente dónde está montado el sistema de archivos ram inicial durante el arranque del sistema proceso.

LassePoulsen
fuente
2
+1 También obtienes falsos positivos similares en chkrootkit. Es porque rkhunter está configurado para tratar directorios ocultos como sospechosos.
Richard Holloway el