Der Linux Home Server wird zeitgesteuert per cronjob regelmäßig sicherheitsüberprüft. Dabei kommt unter anderem rkhunter zum Einsatz.
Nach einer Softwareaktualisierung fand sich in den E-Mails des Systemadministrators neben anderen die folgende, hier gekürzt wiedergegebene Nachricht:
Betreff: [rkhunter] bluestar.domo.reto - Daily
report
Warnung: Dateieigenschaften haben sich geändert:
Datei: /usr/bin/curl
Aktueller Hash-Wert: ...
Gespeicherter Hash-Wert: ...
Aktueller Knoten (inode): ...
Gespeicherter Knoten (inode): ...
Aktuelle Zeit der letzten Dateiänderung: ...
Gespeicherte Zeit der letzten Dateiänderung : ...
Warnung: Dateieigenschaften haben sich geändert:
Datei: /usr/bin/perl
[...]
Eine oder mehrere Warnungen während der System-Überprüfung gefunden.
Bitte überprüfen Sie die Log-Datei (/var/log/rkhunter.log)
Die Log-Datei endet mit folgenden Zeilen:
/var/log/rkhunter.log
[07:39:51] Zusammenfassung der Systemüberprüfung [07:39:51] ===================== [07:39:51] [07:39:51] Dateieigenschaften-Überprüfung... [07:39:51] Dateien überprüft: 135 [07:39:51] Verdächtige Dateien: 2 [07:39:51] [07:39:51] Rootkit-Überprüfungen... [07:39:51] Rootkits überprüft : 248 [07:39:51] Mögliche Rootkits: 0 [07:39:51] [07:39:51] Dauer der System-Überprüfung: 1 minute and 42 seconds
Da in diesem Fall eine gewollte Softwareaktualisierung stattgefunden hat, muss nun dem RootKit Hunter mitgeteilt werden, dass die Änderung der Dateieigenschaften in Ordnung ist.
root@bluestar:~# rkhunter --propupd
/usr/bin/curl,/usr/bin/perl
[ Rootkit Hunter Version 1.3.6 ] Datei updated: gesucht nach 162 Dateien, gefunden wurden 2 von 135
Wenn man anschließend rkhunter manuell ausführt, enthält die Log-Datei keine Hinweise mehr auf verdächtige Dateien.