Moin. Eine Frage.
Braucht man das "Init_3rdparty.spk" auch noch in der Firmwareversion 2.2 rev. 942 oder hat sich da etwas geändert ?
(Bin da etwas vorsichtig wenn es so tief ins System geht, nachher gibts Probleme ...)
Rootkit Hunter als 3rd-party-app
- Ersteller QTip
- Erstellt am
-
- Schlagworte
- 3rd-party rootkit hunter sicherheit
- Status
Moin. Eine Frage.
Braucht man das "Init_3rdparty.spk" auch noch in der Firmwareversion 2.2 rev. 942 oder hat sich da etwas geändert ?
(Bin da etwas vorsichtig wenn es so tief ins System geht, nachher gibts Probleme ...)
itari
Benutzer
- Mitglied seit
- 15. Mai 2008
- Beiträge
- 21.900
- Punkte für Reaktionen
- 14
- Punkte
- 0
Also diese Init_3rdparty.spk Version hier nehmen.
Auf einer DS gibt es ein Linux (das ist das Betriebssystem) und Server-Anwendungen. Ein davon ist der Web-Server-Apache. Dieser wird durch das Init_3rdparty.spk ein wenig aufgebohrt, damit auch die schönen Sachen nicht allzu kompliziert gehen. Das wäre also kein systemnaher Eingriff, sondern lediglich eine kleine Modifikation (so wie sie auch verschiedene Web-Anwendungen wie Joommla usw. vornehmen). Man hätte das auch bei jeder Anwendung separat vornehmen können, aber wir sind hier eigentlich froh, dass es hierfür ein zentrales Skript gibt.
Itari
Auf einer DS gibt es ein Linux (das ist das Betriebssystem) und Server-Anwendungen. Ein davon ist der Web-Server-Apache. Dieser wird durch das Init_3rdparty.spk ein wenig aufgebohrt, damit auch die schönen Sachen nicht allzu kompliziert gehen. Das wäre also kein systemnaher Eingriff, sondern lediglich eine kleine Modifikation (so wie sie auch verschiedene Web-Anwendungen wie Joommla usw. vornehmen). Man hätte das auch bei jeder Anwendung separat vornehmen können, aber wir sind hier eigentlich froh, dass es hierfür ein zentrales Skript gibt.
Itari
Ich bin auch froh darüber ... manuell hätte ich es auch nicht gemacht.
Bein ersten scanversuch des rootkit hunters kommt die fehlermeldung : "Error System startup file does not exist: /opt/etc/init.d"
Nunja. guck ich morgen mal was da los ist. Ich hatte zuerst den rootkit hunter installiert und danach dieses init paket. Kann es daran liegen dass ich das umgekehrt hätte machen sollen ?
Und eben habe ich versucht die Diskstation mal neu hochzufahren. Geht nicht. Status-LED blinkt nur schön vor sich hin. Musste ja irgendwann so kommen. Never change usw ....
Also nochmal Firmware installieren (was so Windowsuser machen die keine Ahnung haben).
Geht aber auch nicht denn dann kommt die Fehlermeldung:
"Das Modell der Installations-Datei ist inkompatibel mit dem Systemmodell. Sie müssen die Installationsdatei für Version synology_powerpc_109j verwenden"
Die Datei die ich nutze hat den Namen: "synology_powerpc_109j_0959.pat"
Was soll daran jetzt falsch sein ?
Zuletzt bearbeitet:
Hallo zusammen,
ich habe ein Problem mit rkhunter, vielleicht hat ja jemand eine Lösung.
Ich hab rkhunter und alle erforderlichen Pakete installiert, funktioniert auch so weit, allerdings tritt folgende Fehlermeldung auf wenn ich einen Scan starten will:
Ich habe rkhunter bereits neu installiert, allerdings ohne Erfolg.
Wie gesagt: Alles andere funktioniert, Update etc....
Ich habe schon versucht die Datei zu erstellen, allerdings ohne Erfolg, die Meldung kommt trotzdem.
ich habe ein Problem mit rkhunter, vielleicht hat ja jemand eine Lösung.
Ich hab rkhunter und alle erforderlichen Pakete installiert, funktioniert auch so weit, allerdings tritt folgende Fehlermeldung auf wenn ich einen Scan starten will:
Ich habe rkhunter bereits neu installiert, allerdings ohne Erfolg.
Wie gesagt: Alles andere funktioniert, Update etc....
Ich habe schon versucht die Datei zu erstellen, allerdings ohne Erfolg, die Meldung kommt trotzdem.
- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
Dann fehlt wohl ipkg bei dir --> http://www.synology-wiki.de/index.php/IPKG
Die /tmp/locking.tdb sollte eigentlich bei benutzten Samba-Shares existieren.
Welche Rootkithunter Paketversion benutzt du; 1.00 oder 1.10? Wenn 1.10, benutzt du dann die Stable oder CVS-Version?
Schau mal ob im Rootkithunter unter Configuration - RTKT_DIR_WHITELIST folgendes steht:
Rich (BBCode):
RTKT_DIR_WHITELIST=""
RTKT_FILE_WHITELIST="/tmp/locking.tdb"Dann noch unter Configuration - IMMUTWHITELIST folgendes:
Rich (BBCode):
IMMUTWHITELIST=/tmp/locking.tdbHi,
danke für deine Antwort.
Ich benutze 1.10 und 1.3.6 stable.
Die von dir beschriebenen Punkte existieren genau so in der conf.
Allerdings leider die Datei nicht, der Ordner /tmp/ ist komplett leer.
Ich hab auch schon versucht die Datei zu erstellen, leider ohne Erfolg....
Noch ne Idee woran das liegen könnte?
danke für deine Antwort.
Ich benutze 1.10 und 1.3.6 stable.
Die von dir beschriebenen Punkte existieren genau so in der conf.
Allerdings leider die Datei nicht, der Ordner /tmp/ ist komplett leer.
Ich hab auch schon versucht die Datei zu erstellen, leider ohne Erfolg....
Noch ne Idee woran das liegen könnte?
- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
Ich benutze noch die 1.35, kann sein das sich da wieder Etwas geändert hat. Werde die Tage mal die neue Version testen und evtl. ein Update für das Paket rausbringen.
Dann kommentiere den Wert unter Configuration - RTKT_DIR_WHITELIST mit einer "#" aus.
Danach mit "Save Option" sichern, ein Update DB und anschließend einen Scan durchführen.
Dann kommentiere den Wert unter Configuration - RTKT_DIR_WHITELIST mit einer "#" aus.
Rich (BBCode):
#RTKT_FILE_WHITELIST="/tmp/locking.tdb"Nein. Das war drauf.
Jetzt ist eine Installation der Firmware nicht mehr möglich. Je nach Version des Synology Assistenten sagt er die Firmware wäre beschädigt oder nicht kompatibel.
Existiert dort draussen ein guter kommerzieller Service der das wieder hinbekommt ?
Zuletzt bearbeitet:
Danke, das hatte ich schon probiert, leider bringt das absolut keine Änderung.
Klingt komisch, ist aber so
- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
also in /tmp/ müssen sich Dateien befinden, das kann nicht leer sein. Überprüfe ob du im richtigen tmp guckst. Es gibt mehrere tmp Verzeichnisse:
/tmp <-- das wäre das richtige
/opt/tmp
/volume1/tmp
/volume1/@tmp (auf jedem /volumexx)
noch was...hänge mal bitte das komplette RKHunter-Log hier an deinen Post.
/tmp <-- das wäre das richtige
/opt/tmp
/volume1/tmp
/volume1/@tmp (auf jedem /volumexx)
noch was...hänge mal bitte das komplette RKHunter-Log hier an deinen Post.
So. Jetzt nimmt die Kiste (109j) die Firmware wieder an. Was ich gemacht habe:
Hochfahren bis gelbe LED blinkt.
Resettaste drücken bis ein Beep kommt.
Resettaste loslassen.
Resettaste drücken bis ein Beep kommt.
Resettaste loslassen.
DiskStation ausschalten und wieder einschalten.
Auf einmal kommt dann keine Fehlermeldung mehr bei der Installation der Firmware über den Synology Assistenten. (Meldung vorher: "Firmware inkompatibel zur DS" und/oder "Firmwaredatei beschädigt oder fehlerhaft" was beides aber ganz offensichtlich nicht stimmte.)
itari
Benutzer
- Mitglied seit
- 15. Mai 2008
- Beiträge
- 21.900
- Punkte für Reaktionen
- 14
- Punkte
- 0
Ja, manchmal muss man etwas hartnäckiger sein
Verschärfungen wäre noch: Platte ausbauen und starten/Platte wieder einbauen - Lithium-Zelle ausbauen/Stunde warten - Androhung, sie gegen die Wand zu werfen Wenn man das alles mal hinter sich hat, stellt man fest, dass es keine wirklich ernsthafte Situation gibt, wo man eine DS nicht wieder hin bekommt.
Und das Beste ist, dass fast immer die Datenpartition erhalten bleibt. Trotzdem ist es ein gutes Gefühl, wenn man regelmäßig sich ein Backup anfertigt. Das mildert die Verzweiflungsgefühle ab ...Itari
Gekürzter Log:
Rich (BBCode):
[01:31:43] Checking for possible rootkit strings [ Skipped ]
[01:31:44] Info: Unable to find the 'strings' command
[01:15:08] /usr/syno/bin/curl [ Warning ]
[01:15:08] Warning: Write permission is set on file '/usr/syno/bin/curl' for all users.
[01:32:35] Checking running processes for deleted files [ Warning ]
[01:32:36] Warning: The following processes are using deleted files:
[01:32:36] Process: /usr/bin/perl PID: 15689 File: /tmp/.apc.SYGx3R
[01:32:37] Process: httpd PID: 17105 File: /tmp/.apc.SYGx3R
[01:32:37] Process: httpd PID: 17130 File: /tmp/.apc.SYGx3R
[01:32:38] Process: httpd PID: 17135 File: /tmp/.apc.SYGx3R
[01:32:38] Process: /usr/syno/sbin/ddnsd PID: 22207 File: /tmp/.apc.SYGx3R
[01:32:39] Process: /volume1/@appstore/Webalizer/bin/rotatelogs PID: 23270 File: /tmp/.apc.SYGx3R
[01:32:39] Process: httpd PID: 24321 File: /tmp/.apc.SYGx3R
[01:32:46] Checking for hidden processes [ Skipped ]
[01:32:47] Info: Unable to find the 'unhide' command
[01:34:49] Warning: Application 'openssl', version '0.9.7m', is out of date, and possibly a security risk.
[01:34:53] Warning: Application 'sshd', version '5.2p1', is out of date, and possibly a security risk.
[01:34:53] Info: Applications checked: 3 out of 9
[01:34:54]
[01:34:54] System checks summary
[01:34:54] =====================
[01:34:55]
[01:34:55] File properties checks...
[01:34:55] Files checked: 198
[01:34:56] Suspect files: 1
[01:34:56]
[01:34:56] Rootkit checks...
[01:34:57] Rootkits checked : 159
[01:34:57] Possible rootkits: 0
[01:34:57]
[01:34:57] Applications checks...
[01:34:58] Applications checked: 3
[01:34:58] Suspect applications: 2
[01:34:59]
[01:34:59] The system checks took: 23 minutes and 41 seconds
[01:35:00]
[01:35:00] Info: End date is Mon Jun 14 01:35:00 CEST 2010
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
Du musst diese Dateien, wenn du dir sicher bist, auf eine Whitelist setzen. Rootkit Hunter gibt eine Warnung aus, da normalerweise diese Dateien und Prozesse sowas nicht dürften. Die DiskStations sind aber nicht "normal!"
, deswegen benötigen wir definierte Ausnahmen. Es gibt diverse Whitelists, die meisten heissen xxxWHITELIST oder ALLOWxxx. Zu jedem Abschnitt auf der Configurations Seite gibt es im Textfeld rechts oben eine kurze und manchmal längere Erklärung mit Beispielen.
Rich (BBCode):
[01:15:08] /usr/syno/bin/curl [ Warning ]
[01:15:08] Warning: Write permission is set on file '/usr/syno/bin/curl' for all users.
Rich (BBCode):
WRITEWHITELIST=/usr/syno/bin/curl
Rich (BBCode):
[01:32:35] Checking running processes for deleted files [ Warning ]
[01:32:36] Warning: The following processes are using deleted files:
Rich (BBCode):
ALLOWPROCDELFILE=<Prozessname oder kompletter Prozessspfad>Die "out of date' Meldungen kann man leider nicht unterdrücken, allerdings habe ich auch noch nicht die aktuellste Version in Benutzung. Die 'skipped' Meldung kannst ebenfalls ignorieren, da er das Tool für den Check nicht gefunden hat. In den meisten Fällen kann man dies dann per IPKG nachinstallieren.
Wenn Alles eingetragen ist, dann wieder zurück auf den Tab Scanner und 1x Update DB durchführen. Danach kannst gleich noch einen Lauf machen um die Änderungen zu überprüfen.
Ich mache nach der Email-Meldung folgendes:
Ich suche im Log nach dem Text "Warn" und trage dann die Änderungen mit Copy & Paste gleich in die Konfiguration ein.
Noch ein Tip: Nach jedem Update vom DSM, eines IPKG- oder SPK-Paketes sollte man ein Update der DB Durchführen, damit die Änderungen für Rootkit Hunter frühzeitig bekannt sind und man nicht durch das Setzen eines Prozesses auf die Whitelist unwissentlich ein schadhaftes Programm oder -Script zuläßt.
The command 'tr' must be present on the system in order to run rkhunter
Hallo zusammen,
ich besitze eine DS209 und habe den Rootkit Hunter wie im Wiki beschrieben mit der 1.10er Version installiert.
Die Installtion hat soweit auch super funktioniert. Allerdings erhalte ich bei "Scan" oder "Update" den folgenden Fehler:
Weiß jemand wie ich den Fehler beheben kann? Bitte etwas genauer, damit ich auch wirklich weiß was ich zu tun habe.
Besten Dank!
Hallo zusammen,
ich besitze eine DS209 und habe den Rootkit Hunter wie im Wiki beschrieben mit der 1.10er Version installiert.
Die Installtion hat soweit auch super funktioniert. Allerdings erhalte ich bei "Scan" oder "Update" den folgenden Fehler:
Weiß jemand wie ich den Fehler beheben kann? Bitte etwas genauer, damit ich auch wirklich weiß was ich zu tun habe.
Besten Dank!
- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
Du hast wahrscheinlich kein IPKG installiert, folge den Anweisungen hier, achte auf den richtigen Prozessortyp, deinstalliere dann das Paket rkhunter und installiere rkhunter 1.10 erneut.
...
nein, das kann leider nicht sein.. IPKG ist sicher installiert. Habe vorher erst MediaTomb mit installiert..
nein, das kann leider nicht sein.. IPKG ist sicher installiert. Habe vorher erst MediaTomb mit installiert..
- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
Es fehlt bei dir tr, was Bestandteil vom Paket "coreutils" ist. Dieses Paket und 3 weitere Pakete werden beim Installieren von rkhunter mitinstalliert. Da lt. Fehlermeldung #1 tr fehlt, hatte ich vermutet, dass IPKG bei dir nicht existiert.
Installiere mal die Pakete mit IPKG nach:
Anschließend rkhunter aufrufen und ein DB-Update machen. Nun sollten diese beidenh Fehler nicht mehr auftauchen.
Installiere mal die Pakete mit IPKG nach:
Rich (BBCode):
ipkg install coreutils findutils file lsof- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
