Rootkit Hunter als 3rd-party-app

[codac]

!

Perfekt, jetzt klappt es einwandfrei.

Besten Dank!

 

[CoRe]

Hi,
habe eben den RootkitHunter installiert.
Beim Aufruf im DSM kommt auch die GUI.
Allerdings kann ich dort nur auf "Download & Install" klicken.
Da kommt jedoch der Fehler "Error downloading RootkitHunter"

Kann damit jemand was anfangen?
Hab schon nach Logs geschaut aber nichts gefunden.

Habe nun RKH über Shell heruntergeladen, entpackt und installiert.
Ein Scan lief auch schon durch aber das 3rd-Party-App findet leider die Installation nicht.


Würde mich freuen wenn mir jemand helfen könnte.

Gruß
Sandro

 

[QTip]

Der Downloadpfad auf Sourceforge hat sich leider geändert.
Da ich nicht weiss wohin du den RKHunter manuell heruntergeladen hast, am besten das Paket noch mal ordentlich deinstallieren und wieder installieren. Den manuell heruntergeladenen RKhunter natürlich ebenfalls löschen.
Als root per ssh oder telnet auf der DS anmelden. Wechsel nun in das Verzeichnis

/usr/syno/synoman/3rdparty/rkhunter

Lade die Datei im Anhang herunter, entferne die Endung .txt und überschreibe die vorhandene Datei damit. Nun sicherheitshalber die Datei mit

chmod 774 rkhcmd.sh

noch ausführbar machen.
Nun sollte die Installation per Webinterface wieder funktionieren. Wenn ich Zeit habe werde ich das komplette Paket mal überarbeiten.

 

[CoRe]

Das Forum ist echt klasse..
Hier wurde mir bis jetzt immer schnell und nett geholfen..

Vielen Dank dafür...

@QTip:
Danke für deine Mühe.. nun funktioniert auch die Installation einwandfrei...


Grüße aus dem sonnigen FFM..

 

[CoRe]

Hi,
ich nochmal.. mir ist eben aufgefallen, dass RKHunter nicht über die Shell startet.
Es wird laut Shell nicht gefunden.

Muss ich den noch irgendwo registrieren, dass das System das Programm kennt?

Gibt es eigentlich eine Möglichkeit sich die Log schöner auswerten zu lassen?
Die ganzen [OK] - Zeilen nerven beim prüfen der Logs..


Gruß
Sandro

 

[QTip]

Hi,
ich nochmal.. mir ist eben aufgefallen, dass RKHunter nicht über die Shell startet.
Es wird laut Shell nicht gefunden.
Muss ich den noch irgendwo registrieren, dass das System das Programm kennt?

Der Pfad ist dem System nicht bekannt, deshalb kann er ihn auch nicht finden.
Für den Shellaufruf benutze am besten meine mitgelieferte rkhcmd.sh. Beim Aufruf ohne Parameter bekommst du die verfügbaren Befehle angezeigt. Auf jeden Fall musst du dich für den Aufruf ohne rkhcmd.sh innerhalb vom Verzeichnis rkhunter/rkhunter/files befinden, damit rkhunter den Rest seiner Dateien findet.

Gibt es eigentlich eine Möglichkeit sich die Log schöner auswerten zu lassen?
Die ganzen [OK] - Zeilen nerven beim prüfen der Logs..

Gruß
Sandro

Das ist so vom rkhunter vorgegeben, evtl. kannst du das mit ein paar grep's selbst anpassen und dir nur die wichtigen Meldungen anzeigen lassen.

 

[Super-Grobi]

Moin QTip,

probiere mich auch gerade daran es auf meiner DS106e mit DSM3.1 1594 zu installieren, init_3rdparty und die diversen kleinen Tools

ipkg install coreutils findutils file lsof

haben geklappt

Dann

Installation Init_3rdparty: über Packagemanager -> ok, run- > ok

Installation RKH: Packatemanager -> ok, run -> ok,
Auswahl DSM->RKH: Aufforderung zum Download -> go
Dies ist erfolgreich gewesen

    Installation successful!
    You have installed Rootkit Hunter the first time,
    it is nessessary to do a first scan!

Ein erste Scan wir vorgeschlagen, gestartet

    Error
    Invalid STARTUP_PATHS configuration option: the name does not exist: /opt/etc/init.d

Das ging wohl schief

Wenn ich mir die angegeben Var. im RKH ansehe enthält sie /opt/etc/init.d, dieser Pfad existiert aber nicht auf meinem System, /opt/etc/ enthält

ipkg, ipkg.conf rc.optware wgetrc

Mehr nicht?!?!

Kann ich den Pfad einfach raus nehmen aus der STARTUP_PATHS Variablen?
Und warum existiert das nicht auf meiner DS?

[Edit]
Ich nehme mal an, weil ich noch kein /opt Packet installiert habe fehlt mir der Pfad.
Ich hab den also mal aus dem STARTUP_PATH raus genommen, und der Scan läuft jetzt mit
wohl erst mal üblichen, hier ja schon angesprochenen Ausnahmen, durch

[15:09:27] System checks summary
[15:09:28] =====================
[15:09:28]
[15:09:28] File properties checks...
[15:09:28] Required commands check failed
[15:09:28] Files checked: 169
[15:09:28] Suspect files: 0
[15:09:28]
[15:09:28] Rootkit checks...
[15:09:29] Rootkits checked : 159
[15:09:29] Possible rootkits: 0
[15:09:29]
[15:09:29] Applications checks...
[15:09:29] Applications checked: 4
[15:09:29] Suspect applications: 2
[15:09:30]
[15:09:30] The system checks took: 11 minutes and 29 seconds
[15:09:30]
[15:09:30] Info: End date is Sat Mar 12 15:09:30 CET 2011

Grüße
S.Grobi

 

[QTip]

Das Verzeichnis /opt/etc/init.d wird durch ein IPKG-Paket angelegt, das ein Startscript mitliefert. Da du anscheinend kein solches Paket installiert hast, existiert das Verzeichnis demnach nicht. Ist nicht schlimm, du kannst diesen Pfad unter Configuration einfach entfernen. Dort erhälst du auch Erklärungen, wofür der entsprechende Parameter gut is. Nicht vergessen Save option durchzuführen

 

[Super-Grobi]

Ja, wunderbar, sieht alles gut aus. Danke Dir für diese Paket-Installation, auch wenn ich noch nicht richtig einzuschätzen vermag, was es mir an Sicherheitsgewinn gibt.
Eine Frage aber doch noch: Ich habe versucht die E-Mail Notifikation zu benutzen, erhalte aber die Meldung, dass das Kommando "mail" unbekannt sei.
Ja, isses Aber wo bekomme ich es her. Ein "ipkg list | grep mail" listet eine Menge auf, aber was davon wird es sein? Wie bekommt man so etwas raus?

Ach ja, mail Daten im DSM unter Notification sind eingetragen und funktionieren auch. (Testmail).
Hmmpf?? Ich mach mal jeder Boot tut gut....

Grüße
S.Grobi

 

[QTip]

Die eingebaute Mailfunktion vom rkhunter wird nicht benutzt, da ich eine eigene Email-Notifikation benutze. Du brauchst also nichts weiter einrichten, die Emails gehen automatisch an die eingegebene Emailadresse unter Benachrichtigung.

 

[Super-Grobi]

ah, ok... thx...

 

[Comp]

Rootkit Hunter findet Kommandos nicht mehr!

Hallo Syno Gemeinde,
habe das RKhunter.spk Paket in der Version 1.10 installiert.

Nach dem Start hat er auf die Version 1.38 aktualisiert.
Wenn ich nun die Datenbank aktualisieren möchte, bekomm ich eine Fehlermeldung: Error ./rkhunter: line16683:tr: not found the command "cut"........."egrep"........"grep"..........."sed"......"tail"........."tr"....must be present on the system in order to run rkhunter.

Was mache ich falsch!
Die Kommandos sind in den Verzeichnissen vorhanden die "RKHunter" in "BINDIR" durchsucht. IPKG und init 3rdparty sind ebenfalls installiert!

Vor ein paar Wochen hatte ich schonmal rkhunter auf meine DS211j ohne Probleme installiert.

Gruß Comp


PS.:Ein Super Forum, bin zwar noch nicht lange hier, habe aber bisher immer eine Antwort auf meine Fragen bekommen! Und als bisheriger "Nichtlinuxer" habe ich schon viel von euch gelernt, Danke!

 

[Matthieu]

Installiere mal via ipkg die "coreutils". Da sollte die meisten der gesuchten Pakete enthalten sein soweit ich weiß.

MfG Matthieu

 

[Comp]

Danke für die schnelle Antwort Matthieu!

Habe "coreutils" nachinstalliert und es funktioniert.

Dachte immer das die Befehle mit IPKG mitinstalliert werden!
Wieder was gelernt!

Gruß Comp

 

[QTip]

Mit der Installation vom SPK werden normalerweise automatisch coreutils, findutils, file und lsof per IPKG mitinstalliert. Zuvor wird allerdings nach IPKG abgefragt und auch nur dann diese Pakete installiert; wahrscheinlich hattest du IPKG erst nach dem rkhunter installiert.
Du solltest noch die Pakete findutils, file und lsof ebenfalls per IPKG nachinstallieren, dann müssten alle Warnungen betreffend der Befehle verschwinden.

 

[Comp]

Hallo QTip,
habe nochmal die restlichen Pakete nachinstalliert, mit Erfolg.

IPKG hatte ich vor der rkhunter Installation installiert. Aber vielleicht ist mir dabei ein Fehler unterlaufen!

Reihenfolge: 1.IPKG (http://www.synology-wiki.de/index.php/IPKG)
2.SFTP SCP (http://www.synology-wiki.de/index.php/SFTP_SCP), weil ich mit vi & Co nicht warm werde (WinSCP)
3. Diverse: autoshutdown, admintool, clamav(hat nicht funktioniert, aufgegeben), Rootkit Hunter

Vielen Dank und Gruß
Comp

 

[TobiasReich]

Hallo,
ich wollte gerade das RootkitHunter Paket installieren.
Das scheint soweit auch ganz gut geklappt zu haben. IPKG ist drauf und ich habe nach dem Forumsbeitrag auch das Init3rd Party Skript installiert. Dennoch, nach der Installation und anschließendem Start von Rootkit Hunter im "Startmenü" der DS öffnet sich statt einer GUI nur ein Fenster mit einer PHP / Website. Was habe ich hier falsch gemacht? Hat jemand dieses Problem schon einmal gehabt?
Ich danke euch,
Tobias

 

[QTip]

Browsercache refreshen mit STRG + F5 (bei IE und FF) oder Browsercache löschen und Browser neustarten. Wenn das alles nichts hilft, dann DS neustarten.

 

[TobiasReich]

Ah, danke, manchmal ist es eben doch ganz einfach.
Allerdings klappt es immernoch nicht so ganz.
Beim Scannen oder Update bekomme ich immer eine Meldung über broken links:
...

[11:18:36] Info: Starting file properties data update...
[11:18:36] Info: Created temporary file '/usr/syno/synoman/webman/3rdparty/rkhunter/rkhunter/files/rkhunter.dat.hgorZz438W'
[11:18:36] Collecting O/S info...
[11:18:36] Info: Found system architecture: armv5tel
[11:18:36] Info: Unable to find a release file: LS output shows:
[11:18:36]       
[11:18:36] Info: Found O/S name: Linux 2.6.32.12
[11:18:46] Getting file properties...
[11:18:48] Warning: No hash value found for file '/opt/bin/find'
[11:18:48]          The file is a broken link: /opt/bin/find -> /volume1/@optware/bin/findutils-find
[11:19:10] Warning: No hash value found for file '/volume1/@optware/bin/find'
[11:19:10]          The file is a broken link: /volume1/@optware/bin/find -> /volume1/@optware/bin/findutils-find
...

Gibts da ne möglichkeit, die zu fixen bzw. zu ignorieren? Scheinen gleich mehrere zu sein.
Beim Scannen kommt auch diese monströse Meldung:

Error

[ Rootkit Hunter version 1.3.8 ][1;33mChecking system commands...[0;39m  Performing 'strings' command checks    Checking 'strings' command[31C[ [1;33mSkipped[0;39m ]  Performing 'shared libraries' checks    Checking for preloading variables[24C[ [1;32mNone found[0;39m ]    Checking for preloaded libraries[25C[ [1;32mNone found[0;39m ]    Checking LD_LIBRARY_PATH variable[24C[ [1;33mSkipped[0;39m ]  Performing file properties checks    Checking for prerequisites[31C[ [1;31mWarning[0;39m ]    /opt/bin/basename[40C[ [1;32mOK[0;39m ]    /opt/bin/cat[45C[ [1;32mOK[0;39m ]    /opt/bin/chmod[43C[ [1;32mOK[0;39m ]    /opt/bin/chown[43C[ [1;32mOK[0;39m ]    /opt/bin/chroot[42C[ [1;32mOK[0;39m ]    /opt/bin/cp[46C[ [1;32mOK[0;39m ]    /opt/bin/cut[45C[ [1;32mOK[0;39m ]    /opt/bin/date[44C[ [1;32mOK[0;39m ]    /opt/bin/df[46C[ [1;32mOK[0;39m ]    /opt/bin/dirname[41C[ [1;32mOK[0;39m ]    /opt/bin/du[46C[ [1;32mOK[0;39m ]    /opt/bin/echo[44C[ [1;32mOK[0;39m ]    /opt/bin/env[45C[ [1;32mOK[0;39m ]    /opt/bin/find[44C[ [1;31mWarning[0;39m ]    /opt/bin/groups[42C[ [1;32mOK[0;39m ]    /opt/bin/head[44C[ [1;32mOK[0;39m ]    /opt/bin/id[46C[ [1;32mOK[0;39m ]    /opt/bin/kill[44C[ [1;32mOK[0;39m ]    /opt/bin/ls[46C[ [1;32mOK[0;39m ]    /opt/bin/md5sum[42C[ [1;32mOK[0;39m ]    /opt/bin/mktemp[42C[ [1;32mOK[0;39m ]    /opt/bin/mv[46C[ [1;32mOK[0;39m ]    /opt/bin/pwd[45C[ [1;32mOK[0;39m ]    /opt/bin/readlink[40C[ [1;32mOK[0;39m ]    /opt/bin/runcon[42C[ [1;32mOK[0;39m ]    /opt/bin/sha1sum[41C[ [1;32mOK[0;39m ]    /opt/bin/sha224sum[39C[ [1;32mOK[0;39m ]    /opt/bin/sha256sum[39C[ [1;32mOK[0;39m ]    /opt/bin/sha384sum[39C[ [1;32mOK[0;39m ]    /opt/bin/sha512sum[39C[ [1;32mOK[0;39m ]    /opt/bin/sort[44C[ [1;32mOK[0;39m ]    /opt/bin/stat[44C[ [1;32mOK[0;39m ]    /opt/bin/su[46C[ [1;32mOK[0;39m ]    /opt/bin/tail[44C[ [1;32mOK[0;39m ]    /opt/bin/test[44C[ [1;32mOK[0;39m ]    /opt/bin/touch[43C[ [1;32mOK[0;39m ]    /opt/bin/tr[46C[ [1;32mOK[0;39m ]    /opt/bin/uname[43C[ [1;32mOK[0;39m ]    /opt/bin/uniq[44C[ [1;32mOK[0;39m ]    /opt/bin/users[43C[ [1;32mOK[0;39m ]    /opt/bin/wc[46C[ [1;32mOK[0;39m ]    /opt/bin/wget[44C[ [1;32mOK[0;39m ]    /opt/bin/who[45C[ [1;32mOK[0;39m ]    /opt/bin/whoami[42C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-basename[30C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-cat[35C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-chmod[33C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-chown[33C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-chroot[32C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-cp[36C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-cut[35C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-date[34C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-df[36C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-dirname[31C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-du[36C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-echo[34C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-env[35C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-groups[32C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-head[34C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-id[36C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-kill[34C[ [1;32mOK[0;39m ]    /opt/bin/coreutils-ls[36C[ [1;32mOK[0;39m ]  
...
Checking version of Procmail MTA[25C[ [1;32mOK[0;39m ]    Checking version of OpenSSH[30C[ [1;31mWarning[0;39m ]System checks summary=====================File properties checks...    Required commands check failed    Files checked: 241    Suspect files: 2Rootkit checks...    Rootkits checked : 159    Possible rootkits: 0Applications checks...    Applications checked: 4    Suspect applications: 1The system checks took: 5 minutes and 44 secondsAll results have been written to the log file (/usr/syno/synoman/webman/3rdparty/rkhunter/logs/rkhunter_2011-07-30_112438.log)One or more warnings have been found while checking the system.Please check the log file (/usr/syno/synoman/webman/3rdparty/rkhunter/logs/rkhunter_2011-07-30_112438.log)

Weiß jemand Rat?

Ich danke euch,
Tobias

 

[Ap0phis]

Sorry für OT, aber ein kleiner Tipp am Rande:
Deine Meldungen solltest du immer in

code

-Tags setzen. Da hat man beim Lesen einen besseren Überblick.