rkhunter me da una advertencia para "/ usr / bin / lwp-request": ¿qué debo hacer? [Debian 9]

26

Así que acabo de instalar y ejecuté rkhunter que me muestra OKs verdes / No se encuentra para todo excepto para: / usr / bin / lwp-request , así:

/usr/bin/lwp-request                                     [ Warning ]

En el registro dice:

Warning: The command '/usr/bin/lwp-request' has been replaced by a 
   script: /usr/bin/lwp-request: Perl script text executable

Ya corrí rkhunter --propupdy sudo apt-get update && sudo apt-get upgradeeso no ayudó. Instalé Debian 9.0 hace solo unos días y soy un recién llegado a Linux.

¿Alguna sugerencia sobre qué hacer?

Editar : Además, chkrootkit me da esto:

Se encontraron los siguientes archivos y directorios sospechosos: 

/usr/lib/mono/xbuild-frameworks/.NETPortable 
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml 
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit 
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework

Supongo que es una pregunta aparte? ¿O esto no es un problema en absoluto? No sé cómo verificar si estos archivos / directorios están bien y son necesarios.

Editar : Tenga en cuenta que una vez también recibí advertencias para "Verificar cambios en el archivo passwd" y "Verificar cambios en el archivo de grupo" a pesar de que no cambié ninguno de esos afaik. Un escaneo anterior y posterior no mostró advertencias, estas solo se mostraron una vez. ¿Algunas ideas?

debian security rkhunter MYNDSTREAm
fuente
1
lwp-requestse supone que es un script de Perl, por lo que es una advertencia extraña.
derobert
@derobert ¿Obtiene el mismo error entonces? También se advierte que se ha reemplazado (por otro script perl, supongo), no por ser un script perl. Copié su contenido aquí: pastebin.com/bSLivGvz
mYnDstrEAm
1
Recibo la misma advertencia en mi cuadro de prueba de Debian. Su pastebin también coincide con mi copia de lwp-request (aunque con cambios de final de línea, que supongo que provino de pastebin). Entonces sospecho falsa alarma.
derobert

Respuestas:

25

rkhunter necesita saber qué administrador de paquetes está utilizando.

Cree o edite /etc/rkhunter.conf.localy agregue la siguiente línea:

PKGMGR=DPKG

Si no está en Debian o Ubuntu, cámbielo DPKGpor su administrador de paquetes real.

De esta manera, rkhuntersabrá esperar que esos ejecutables sean scripts y no marquen el falso positivo.

Se asegurará de que si se manipulan los archivos, se mostrará un nuevo resultado positivo.

MacroMan
fuente
Excelente; pero ¿por qué no puedo configurarlo en "APT-GET"? ( pregunta relevante ) ¿Y qué usa de forma predeterminada para verificar los hashes si eso no es DPKG para Debian? ( No value, or a value of 'NONE', indicates that no package manager is to be used.)
mYnDstrEAm
@mYnDstrEAm rkhunter no reconoce apt como administrador de paquetes. dpkg también es un administrador de paquetes válido en todos los sistemas que tienen apt (a menos que se elimine). Creo que el valor predeterminado es RPM
MacroMan
@MacroMan El valor predeterminado establecido en la página de manual esNONE
Adam Spires
Los comentarios en el estado rkhunter.conf: "# NINGUNO es también el predeterminado para Debian, ya que ejecutar --propupd tarda aproximadamente 4 veces más cuando está configurado en DPKG". Ver: github.com/crunchsec/rkhunter/blob/master/files/rkhunter.conf . Parece que no hay necesidad de configurar la opción PKGMGR
Nadir Latif
1

Lo mismo si tiene el acceso root habilitado en SSH. Entonces deberías agregar

ALLOW_SSH_ROOT_USER=YES

a su archivo /etc/rkhunter.conf.local

Antonio J. de Oliveira
fuente
0

Como se menciona en: https://metacpan.org/pod/lwp-request , la solicitud lwp es un script que permite realizar solicitudes http a servidores web. No es malicioso, por lo que se puede ignorar el error.

Para suprimir el error, debe permitir que el comando / usr / bin / lwp-request se use como script. Esto se puede hacer agregando la línea:

SCRIPTWHITELIST=/usr/bin/lwp-request

Al archivo /etc/rkhunter.conf o /etc/rkhunter.conf.local . Consulte la opción SCRIPTWHITELIST en el archivo de configuración rkhunter.conf

Esta solución fue mencionada en los foros de Linux Mint

Nadir Latif
fuente
2
¿Y qué pasa si alguien logra reemplazar la solicitud lwp con un script malicioso? Tenga mucho cuidado al usar esta sugerencia. Te deja vulnerable!
MacroMan