Rootkit Hunter als 3rd-party-app

[QTip]

Eigentlich sollten diese Meldungen im Log stehen und nicht als Meldung aufpoppen. Schließe mal die Box und schau dir das Log an. Wenn dort keine Fehler auftauchen läuft es zumindest erstmal. Ich werde mich die Tage mal um dieses Phänomen kümmern, denn ich habe das nicht. kannst auch Teile des Logs mit Fehlern/Warnungen hier posten, ich werde dann versuchen diese zu deuten.

 

[tomtom00]

Ok also ich poste mal die Stellen aus dem LOG die ich als Fehler deuten würde:
[22:31:56] Info: Unable to find the 'ldd' command
[22:31:57] Info: Unable to find the 'lsattr' command
[22:31:57] Info: Unable to find the 'pgrep' command
[22:31:57] Info: Unable to find the 'strings' command

[22:31:57] Info: Stored hash values used hash function '/opt/bin/sha1sum'
[22:31:57] Info: Stored hash values did not use a package manager
[22:31:57] Info: The hash function field index is set to 1
[22:31:57] Info: No package manager specified: using hash function '/opt/bin/sha1sum'

[22:31:58] Checking 'strings' command [ Skipped ]
[22:31:58] Info: Unable to find the 'strings' command

[22:31:58] Checking for preloaded libraries [ None found ]

[22:31:58] Info: Starting test name 'properties'
[22:31:58] Performing file properties checks
[22:31:58] Warning: Checking for prerequisites [ Warning ]
[22:31:58] Unable to find 'lsattr' command - all file immutable-bit checks will be skipped.

Nun kommen, so wie ich es verstehe, die Überprüfung ob RootKits gefunden werden. Da steht jeweils Not found, was ja ein gutes Zeichen erstmal ist

Dann wieder:
[22:33:31] Checking process list for process 'ata/0' [ Skipped ]
[22:33:31] Info: Unable to find the 'pgrep' command

[22:34:06] Info: Starting test name 'deleted_files'
[22:34:09] Checking running processes for deleted files [ Warning ]
[22:34:09] Warning: The following processes are using deleted files:
[22:34:09] Process: /volume1/@appstore/CloudStation/sbin/syncd PID: 8859 File: /tmp/etilqs_4WbRdahyAAk78wF

[22:34:09] Info: Starting test name 'running_procs'
[22:34:12] Checking running processes for suspicious files [ None found ]
[22:34:12]
[22:34:12] Info: Starting test name 'hidden_procs'
[22:34:12] Info: Unable to find the 'unhide' command
[22:34:12] Info: Unable to find the 'unhide-linux26' command
[22:34:12] Info: Unable to find the 'unhide.rb' command
[22:34:12] Checking for hidden processes [ Skipped ]

[22:34:13] Checking for software intrusions [ Skipped ]
[22:34:13] Info: Check skipped - tripwire not installed

[22:34:13] Performing check for enabled xinetd services
[22:34:13] Checking for enabled xinetd services [ Skipped ]

[22:34:17] Info: Starting test name 'hidden_ports'
[22:34:17] Checking for hidden ports [ Skipped ]
[22:34:17] Info: Unable to find the 'unhide-tcp' command

[22:34:20] Checking if SSH root access is allowed [ Warning ]
[22:34:20] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
[22:34:20] Checking if SSH protocol v1 is allowed [ Warning ]
[22:34:20] Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
[22:34:20] Checking for running syslog daemon [ Warning ]
[22:34:20] Warning: The syslog daemon is not running.
[22:34:21] Info: Starting test name 'filesystem'
[22:34:21] Performing filesystem checks
[22:34:21] Info: SCAN_MODE_DEV set to 'THOROUGH'
[22:34:21] Checking /dev for suspicious file types [ Warning ]
[22:34:21] Warning: Suspicious file types found in /dev:
[22:34:21] /dev/.mdadm/map: ASCII text
[22:34:21] Checking for hidden files and directories [ Warning ]
[22:34:21] Warning: Hidden directory found: '/dev/.mdadm'

Ich weiß sehr viel. Aber ich konnte jetzt schwierig unterscheiden, was für dich nun von Relevanz ist und was nicht.

 

[rieders]

Hallo

Woran erkenne ich das IPKG läuft ?

MfG AR

 

[goetz]

Hallo,

Woran erkenne ich das IPKG läuft ?

wenn
ipkg update
auf der Konsole keinen Fehler wirft.

Gruß Götz

 

[rieders]

ok

Ich bekomme dann die Meldung "success terminate " ist das Ok ?

MfG AR

 

[QTip]

ok

Ich bekomme dann die Meldung "success terminate " ist das Ok ?

MfG AR

Ist dann OK.

 

[QTip]

Hier nun die Auflösung:

Ok also ich poste mal die Stellen aus dem LOG die ich als Fehler deuten würde:
[22:31:56] Info: Unable to find the 'ldd' command OK, gibt es für Synology DS nicht

Info: Unable to find the 'lsattr' command
[22:31:57] Info: Unable to find the 'pgrep' command
[22:31:57] Info: Unable to find the 'strings' command

die folgenden Pakete müssen noch per IPKG nachinstaliert werden:
ipkg install binutils procps e2fsprogs

[22:31:57][22:31:57] Info: Stored hash values used hash function '/opt/bin/sha1sum'
[22:31:57] Info: Stored hash values did not use a package manager
[22:31:57] Info: The hash function field index is set to 1
[22:31:57] Info: No package manager specified: using hash function '/opt/bin/sha1sum OK

[22:31:58] Checking 'strings' command [ Skipped ]
[22:31:58] Info: Unable to find the 'strings' command siehe Pakete nachinstallieren

[22:31:58] Checking for preloaded libraries [ None found ] OK

[22:31:58] Info: Starting test name 'properties'
[22:31:58] Performing file properties checks
[22:31:58] Warning: Checking for prerequisites [ Warning ]
[22:31:58] Unable to find 'lsattr' command - all file immutable-bit checks will be skipped. siehe Pakete nachinstallieren

Nun kommen, so wie ich es verstehe, die Überprüfung ob RootKits gefunden werden. Da steht jeweils Not found, was ja ein gutes Zeichen erstmal ist

Dann wieder:
[22:33:31] Checking process list for process 'ata/0' [ Skipped ]
[22:33:31] Info: Unable to find the 'pgrep' command siehe Pakete nachinstallieren

[22:31:57][22:34:06] Info: Starting test name 'deleted_files'
[22:34:09] Checking running processes for deleted files [ Warning ]
[22:34:09] Warning: The following processes are using deleted files:
[22:34:09] Process: /volume1/@appstore/CloudStation/sbin/syncd PID: 8859 File: /tmp/etilqs_4WbRdahyAAk78wF

Wenn man sich sicher ist, das diese Datei dort hingehört, muss sie in der Whitelist eingetragen werden.

• wechsel zum Tab "Configuration"
• suche in der linken Auswahl das Keyword "ALLOWPROCDELFILE"
• trage auf der rechten Seite die oben gemeldete Datei hinzu (komplett mit Pfad, aber ohne das PID...), kopiere dazu einfach eine vorhandene Zeile und ändere den Teil hinter dem =
• klick auf "Save Option" (muss vor jedem Wechsel auf ein anderes Keyword erfolgen, sonst gehen die durchgeführten Änderungen verloren)

[22:31:57][22:34:09] Info: Starting test name 'running_procs'
[22:34:12] Checking running processes for suspicious files [ None found ] OK
[22:34:12]
[22:34:12] Info: Starting test name 'hidden_procs'
[22:34:12] Info: Unable to find the 'unhide' command OK, gibt es für Synology DS nicht
[22:34:12] Info: Unable to find the 'unhide-linux26' command OK, gibt es für Synology DS nicht
[22:34:12] Info: Unable to find the 'unhide.rb' command OK, gibt es für Synology DS nicht
[22:34:12] Checking for hidden processes [ Skipped ]

[22:34:13] Checking for software intrusions [ Skipped ]
[22:34:13] Info: Check skipped - tripwire not installed OK, gibt es für Synology DS nicht

[22:34:13] Performing check for enabled xinetd services
[22:34:13] Checking for enabled xinetd services [ Skipped ] OK

[22:34:17] Info: Starting test name 'hidden_ports'
[22:34:17] Checking for hidden ports [ Skipped ] OK
[22:34:17] Info: Unable to find the 'unhide-tcp' command OK, gibt es für Synology DS nicht

[22:34:20] Checking if SSH root access is allowed [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:20] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
[22:34:20] Checking if SSH protocol v1 is allowed [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:20] Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
[22:34:20] Checking for running syslog daemon [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:20] Warning: The syslog daemon is not running.
[22:34:21] Info: Starting test name 'filesystem'
[22:34:21] Performing filesystem checks
[22:34:21] Info: SCAN_MODE_DEV set to 'THOROUGH'
[22:34:21] Checking /dev for suspicious file types [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:21] Warning: Suspicious file types found in /dev:
[22:34:21] /dev/.mdadm/map: ASCII text
[22:34:21] Checking for hidden files and directories [ Warning ]
[22:34:21] Warning: Hidden directory found: '/dev/.mdadm' siehe neus rkhunter.conf im Anhang

Ich weiß sehr viel. Aber ich konnte jetzt schwierig unterscheiden, was für dich nun von Relevanz ist und was nicht.

Die meisten Warnungen werden durch die fehlenden Pakete oder fehlende Einträge in der Config verursacht. Ich habe mal eine aktuelle Config für RKHunter 1.40 erstellt und an die DS angepasst. Diese einfach entpacken und in das Verzeichnis "rkhunter" kopieren und die Vorhandene überschreiben. Selbst gemachte Anpassungen an der Config gehen dadurch natürlich verloren. Mit einem Tool wie z.B. WinMerge kann man die Unterschiede zwischen der eigenen und einer neueren Config gut erkennen und die eigenen Anpassungen in die neue Config zuvor migrieren.

Nach jeder Änderung der Config muss die DB mit "Update DB" neu aufgebaut werden!

Wie schon geschrieben, ist das Paket RKHunter schon ein wenig älter, es wird aber in absehbarer Zeit eine Auffrischung geben.

 

[rieders]

Hallo

Leider kommt immernoch diese Meldung.


Wenn also IPKG läuft und ich öfters DS neu gestartet habe , sollte es doch gehen.

Was kann ich noch versuchen damit der Hunter läuft ?

MfG AR

 

[QTip]

Hallo

Leider kommt immernoch diese Meldung.
Anhang anzeigen 11071

Wenn also IPKG läuft und ich öfters DS neu gestartet habe , sollte es doch gehen.

Was kann ich noch versuchen damit der Hunter läuft ?

MfG AR

Melde dich als root (mit Passwort vom admin) mal per Telnet oder SSH auf der DS an und installiere per IPKG die folgenden Pakete nach:

Einfach die Befehlszeilen kopieren und auf der DS einfügen + mit Enter ausführen

ipkg update
ipkg install coreutils findutils file lsof binutils procps e2fsprogs

Danach dann bitte den Anweisungen im Post #127 unten folgen und die neue rkhunter.conf benutzen.

 

[rieders]

Hallo

Ich habe schon öfters versucht das Update auszuführen leider ohne Erfolg.

Hier die Fehlermeldung



Soll ich IPKG löschen und nochmal neu installieren ?
Wenn ja kann ich den Opt Ordner entfernen ?


MfG AR

 

[QTip]

Vorher ein umount /opt ausführen, dann sollte ein Löschen möglich sein.

 

[rieders]

Hallo

Ich habe alles versucht,
Ich bekomme es leider nicht zum laufen.

MfG AR

 

[rieders]

Hallo

Ich habe jetzt nochmal ein Versuch unternommen IPKG zum laufen zu bringen.
Ich hatte noch ein SPK gefunden IPKGWEB.
Wenn ich das starte steht das dann da.


Wenn ich dann auf install gehe kommt dann diese Meldung.


Ich hoffe jemand kann mir helfen das ich mal den Hunter zum laufen bekomme.

MfG AR

 

[Matthieu]

ipkgweb installiert nicht ipkg, sondern nur Pakete welche über ipkg zur Verfügung stehen. (ersetzt damit quasi "ipkg install ..." und ähnliche Eingaben auf der Kommandozeile)

MfG Matthieu

 

[Valdo]

Hallo,

ich wollte gerade Rootkit Hunter installieren und bekomme die Fehlermeldung Bitte installieren Sie "Init 3rdparty = 1.5", bevor Sie dieses Paket installieren."

Ich habe Init 3rdparty Version 1.6 installiert.

Muss ich das jetzt wieder downgraden?

Schönen Gruß

 

[QTip]

Musst wohl leider vorerst als Workaround benutzen. Ich denke mal Morgen werde ich das Paket angepasst haben, dann kannst direkt installieren.

 

[Valdo]

Danke für die schnelle Antwort. Dann habe ich wohl gerade den falschen Zeitpunkt zum installieren gewählt. Bis morgen hab ich ganz sicher Zeit.

 

[QTip]

Rootkit Hunter ist angepasst, kann nun auch direkt mit Init 3rdparty 1.6 benutzt werden.

 

[stefan69]

Habe Init 3rdparty 1.6 installiert.Läuft. Aber bei der Installation von Rootkit Hunter kommt die Fehlermeldung: Kann nicht Installiert werden. DSM 4.3-3810 Update 3. Was mache ich falsch.
Mfg stefan69

 

[QTip]

Du kannst das Paket nicht installieren oder den Rootkit Hunter nach der Installation des Paketes?