Rootkit Hunter als 3rd-party-app

Status
Für weitere Antworten geschlossen.

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Eigentlich sollten diese Meldungen im Log stehen und nicht als Meldung aufpoppen. Schließe mal die Box und schau dir das Log an. Wenn dort keine Fehler auftauchen läuft es zumindest erstmal. Ich werde mich die Tage mal um dieses Phänomen kümmern, denn ich habe das nicht. kannst auch Teile des Logs mit Fehlern/Warnungen hier posten, ich werde dann versuchen diese zu deuten.
 

tomtom00

Benutzer
Mitglied seit
23. Sep 2011
Beiträge
430
Punkte für Reaktionen
0
Punkte
16
Ok also ich poste mal die Stellen aus dem LOG die ich als Fehler deuten würde:
[22:31:56] Info: Unable to find the 'ldd' command
[22:31:57] Info: Unable to find the 'lsattr' command
[22:31:57] Info: Unable to find the 'pgrep' command
[22:31:57] Info: Unable to find the 'strings' command

[22:31:57] Info: Stored hash values used hash function '/opt/bin/sha1sum'
[22:31:57] Info: Stored hash values did not use a package manager
[22:31:57] Info: The hash function field index is set to 1
[22:31:57] Info: No package manager specified: using hash function '/opt/bin/sha1sum'

[22:31:58] Checking 'strings' command [ Skipped ]
[22:31:58] Info: Unable to find the 'strings' command

[22:31:58] Checking for preloaded libraries [ None found ]

[22:31:58] Info: Starting test name 'properties'
[22:31:58] Performing file properties checks
[22:31:58] Warning: Checking for prerequisites [ Warning ]
[22:31:58] Unable to find 'lsattr' command - all file immutable-bit checks will be skipped.

Nun kommen, so wie ich es verstehe, die Überprüfung ob RootKits gefunden werden. Da steht jeweils Not found, was ja ein gutes Zeichen erstmal ist ;)

Dann wieder:
[22:33:31] Checking process list for process 'ata/0' [ Skipped ]
[22:33:31] Info: Unable to find the 'pgrep' command

[22:34:06] Info: Starting test name 'deleted_files'
[22:34:09] Checking running processes for deleted files [ Warning ]
[22:34:09] Warning: The following processes are using deleted files:
[22:34:09] Process: /volume1/@appstore/CloudStation/sbin/syncd PID: 8859 File: /tmp/etilqs_4WbRdahyAAk78wF

[22:34:09] Info: Starting test name 'running_procs'
[22:34:12] Checking running processes for suspicious files [ None found ]
[22:34:12]
[22:34:12] Info: Starting test name 'hidden_procs'
[22:34:12] Info: Unable to find the 'unhide' command
[22:34:12] Info: Unable to find the 'unhide-linux26' command
[22:34:12] Info: Unable to find the 'unhide.rb' command
[22:34:12] Checking for hidden processes [ Skipped ]

[22:34:13] Checking for software intrusions [ Skipped ]
[22:34:13] Info: Check skipped - tripwire not installed

[22:34:13] Performing check for enabled xinetd services
[22:34:13] Checking for enabled xinetd services [ Skipped ]

[22:34:17] Info: Starting test name 'hidden_ports'
[22:34:17] Checking for hidden ports [ Skipped ]
[22:34:17] Info: Unable to find the 'unhide-tcp' command

[22:34:20] Checking if SSH root access is allowed [ Warning ]
[22:34:20] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
[22:34:20] Checking if SSH protocol v1 is allowed [ Warning ]
[22:34:20] Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
[22:34:20] Checking for running syslog daemon [ Warning ]
[22:34:20] Warning: The syslog daemon is not running.
[22:34:21] Info: Starting test name 'filesystem'
[22:34:21] Performing filesystem checks
[22:34:21] Info: SCAN_MODE_DEV set to 'THOROUGH'
[22:34:21] Checking /dev for suspicious file types [ Warning ]
[22:34:21] Warning: Suspicious file types found in /dev:
[22:34:21] /dev/.mdadm/map: ASCII text
[22:34:21] Checking for hidden files and directories [ Warning ]
[22:34:21] Warning: Hidden directory found: '/dev/.mdadm'

Ich weiß sehr viel. Aber ich konnte jetzt schwierig unterscheiden, was für dich nun von Relevanz ist und was nicht.
 

rieders

Benutzer
Mitglied seit
14. Feb 2010
Beiträge
140
Punkte für Reaktionen
0
Punkte
0
Hallo

Woran erkenne ich das IPKG läuft ?

MfG AR
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393

rieders

Benutzer
Mitglied seit
14. Feb 2010
Beiträge
140
Punkte für Reaktionen
0
Punkte
0
ok

Ich bekomme dann die Meldung "success terminate " ist das Ok ?

MfG AR
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Hier nun die Auflösung:
Ok also ich poste mal die Stellen aus dem LOG die ich als Fehler deuten würde:
[22:31:56] Info: Unable to find the 'ldd' command OK, gibt es für Synology DS nicht

Info: Unable to find the 'lsattr' command
[22:31:57] Info: Unable to find the 'pgrep' command
[22:31:57] Info: Unable to find the 'strings' command
die folgenden Pakete müssen noch per IPKG nachinstaliert werden:
ipkg install binutils procps e2fsprogs

[22:31:57][22:31:57] Info: Stored hash values used hash function '/opt/bin/sha1sum'
[22:31:57] Info: Stored hash values did not use a package manager
[22:31:57] Info: The hash function field index is set to 1
[22:31:57] Info: No package manager specified: using hash function '/opt/bin/sha1sum OK

[22:31:58] Checking 'strings' command [ Skipped ]
[22:31:58] Info: Unable to find the 'strings' command siehe Pakete nachinstallieren

[22:31:58] Checking for preloaded libraries [ None found ] OK

[22:31:58] Info: Starting test name 'properties'
[22:31:58] Performing file properties checks
[22:31:58] Warning: Checking for prerequisites [ Warning ]
[22:31:58] Unable to find 'lsattr' command - all file immutable-bit checks will be skipped. siehe Pakete nachinstallieren

Nun kommen, so wie ich es verstehe, die Überprüfung ob RootKits gefunden werden. Da steht jeweils Not found, was ja ein gutes Zeichen erstmal ist ;)

Dann wieder:
[22:33:31] Checking process list for process 'ata/0' [ Skipped ]
[22:33:31] Info: Unable to find the 'pgrep' command siehe Pakete nachinstallieren

[22:31:57][22:34:06] Info: Starting test name 'deleted_files'
[22:34:09] Checking running processes for deleted files [ Warning ]
[22:34:09] Warning: The following processes are using deleted files:
[22:34:09] Process: /volume1/@appstore/CloudStation/sbin/syncd PID: 8859 File: /tmp/etilqs_4WbRdahyAAk78wF
Wenn man sich sicher ist, das diese Datei dort hingehört, muss sie in der Whitelist eingetragen werden.
  • wechsel zum Tab "Configuration"
  • suche in der linken Auswahl das Keyword "ALLOWPROCDELFILE"
  • trage auf der rechten Seite die oben gemeldete Datei hinzu (komplett mit Pfad, aber ohne das PID...), kopiere dazu einfach eine vorhandene Zeile und ändere den Teil hinter dem =
  • klick auf "Save Option" (muss vor jedem Wechsel auf ein anderes Keyword erfolgen, sonst gehen die durchgeführten Änderungen verloren)
[22:31:57][22:34:09] Info: Starting test name 'running_procs'
[22:34:12] Checking running processes for suspicious files [ None found ] OK
[22:34:12]
[22:34:12] Info: Starting test name 'hidden_procs'
[22:34:12] Info: Unable to find the 'unhide' command OK, gibt es für Synology DS nicht
[22:34:12] Info: Unable to find the 'unhide-linux26' command OK, gibt es für Synology DS nicht
[22:34:12] Info: Unable to find the 'unhide.rb' command OK, gibt es für Synology DS nicht
[22:34:12] Checking for hidden processes [ Skipped ]

[22:34:13] Checking for software intrusions [ Skipped ]
[22:34:13] Info: Check skipped - tripwire not installed OK, gibt es für Synology DS nicht

[22:34:13] Performing check for enabled xinetd services
[22:34:13] Checking for enabled xinetd services [ Skipped ] OK

[22:34:17] Info: Starting test name 'hidden_ports'
[22:34:17] Checking for hidden ports [ Skipped ] OK
[22:34:17] Info: Unable to find the 'unhide-tcp' command OK, gibt es für Synology DS nicht

[22:34:20] Checking if SSH root access is allowed [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:20] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
[22:34:20] Checking if SSH protocol v1 is allowed [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:20] Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
[22:34:20] Checking for running syslog daemon [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:20] Warning: The syslog daemon is not running.
[22:34:21] Info: Starting test name 'filesystem'
[22:34:21] Performing filesystem checks
[22:34:21] Info: SCAN_MODE_DEV set to 'THOROUGH'
[22:34:21] Checking /dev for suspicious file types [ Warning ] siehe neus rkhunter.conf im Anhang
[22:34:21] Warning: Suspicious file types found in /dev:
[22:34:21] /dev/.mdadm/map: ASCII text
[22:34:21] Checking for hidden files and directories [ Warning ]
[22:34:21] Warning: Hidden directory found: '/dev/.mdadm' siehe neus rkhunter.conf im Anhang

Ich weiß sehr viel. Aber ich konnte jetzt schwierig unterscheiden, was für dich nun von Relevanz ist und was nicht.
Die meisten Warnungen werden durch die fehlenden Pakete oder fehlende Einträge in der Config verursacht. Ich habe mal eine aktuelle Config für RKHunter 1.40 erstellt und an die DS angepasst. Diese einfach entpacken und in das Verzeichnis "rkhunter" kopieren und die Vorhandene überschreiben. Selbst gemachte Anpassungen an der Config gehen dadurch natürlich verloren. Mit einem Tool wie z.B. WinMerge kann man die Unterschiede zwischen der eigenen und einer neueren Config gut erkennen und die eigenen Anpassungen in die neue Config zuvor migrieren.

Nach jeder Änderung der Config muss die DB mit "Update DB" neu aufgebaut werden!

Wie schon geschrieben, ist das Paket RKHunter schon ein wenig älter, es wird aber in absehbarer Zeit eine Auffrischung geben.
 

Anhänge

  • rkhunter.conf_2013-01-11.zip
    12,6 KB · Aufrufe: 22

rieders

Benutzer
Mitglied seit
14. Feb 2010
Beiträge
140
Punkte für Reaktionen
0
Punkte
0
Hallo

Leider kommt immernoch diese Meldung.
Rooterkit Fehler.jpg

Wenn also IPKG läuft und ich öfters DS neu gestartet habe , sollte es doch gehen.

Was kann ich noch versuchen damit der Hunter läuft ?

MfG AR
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Hallo

Leider kommt immernoch diese Meldung.
Anhang anzeigen 11071

Wenn also IPKG läuft und ich öfters DS neu gestartet habe , sollte es doch gehen.

Was kann ich noch versuchen damit der Hunter läuft ?

MfG AR
Melde dich als root (mit Passwort vom admin) mal per Telnet oder SSH auf der DS an und installiere per IPKG die folgenden Pakete nach:

Einfach die Befehlszeilen kopieren und auf der DS einfügen + mit Enter ausführen

Rich (BBCode):
ipkg update
ipkg install coreutils findutils file lsof binutils procps e2fsprogs

Danach dann bitte den Anweisungen im Post #127 unten folgen und die neue rkhunter.conf benutzen.
 

rieders

Benutzer
Mitglied seit
14. Feb 2010
Beiträge
140
Punkte für Reaktionen
0
Punkte
0
Hallo

Ich habe schon öfters versucht das Update auszuführen leider ohne Erfolg.

Hier die Fehlermeldung

Rooterkit Feher 2.jpg

Soll ich IPKG löschen und nochmal neu installieren ?
Wenn ja kann ich den Opt Ordner entfernen ?
Rooterkit Feher 3.GIF

MfG AR
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Vorher ein umount /opt ausführen, dann sollte ein Löschen möglich sein.
 

rieders

Benutzer
Mitglied seit
14. Feb 2010
Beiträge
140
Punkte für Reaktionen
0
Punkte
0
Hallo

Ich habe alles versucht,
Ich bekomme es leider nicht zum laufen.

MfG AR
 

rieders

Benutzer
Mitglied seit
14. Feb 2010
Beiträge
140
Punkte für Reaktionen
0
Punkte
0
Hallo

Ich habe jetzt nochmal ein Versuch unternommen IPKG zum laufen zu bringen.
Ich hatte noch ein SPK gefunden IPKGWEB.
Wenn ich das starte steht das dann da.
fehler ipkg1.jpg

Wenn ich dann auf install gehe kommt dann diese Meldung.
fehler ipkg2.jpg

Ich hoffe jemand kann mir helfen das ich mal den Hunter zum laufen bekomme.

MfG AR
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
ipkgweb installiert nicht ipkg, sondern nur Pakete welche über ipkg zur Verfügung stehen. (ersetzt damit quasi "ipkg install ..." und ähnliche Eingaben auf der Kommandozeile)

MfG Matthieu
 

Valdo

Benutzer
Mitglied seit
04. Sep 2012
Beiträge
36
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich wollte gerade Rootkit Hunter installieren und bekomme die Fehlermeldung Bitte installieren Sie "Init 3rdparty = 1.5", bevor Sie dieses Paket installieren."

Ich habe Init 3rdparty Version 1.6 installiert.

Muss ich das jetzt wieder downgraden?

Schönen Gruß
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Musst wohl leider vorerst als Workaround benutzen. Ich denke mal Morgen werde ich das Paket angepasst haben, dann kannst direkt installieren.
 

Valdo

Benutzer
Mitglied seit
04. Sep 2012
Beiträge
36
Punkte für Reaktionen
0
Punkte
0
Danke für die schnelle Antwort. Dann habe ich wohl gerade den falschen Zeitpunkt zum installieren gewählt. Bis morgen hab ich ganz sicher Zeit.
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Rootkit Hunter ist angepasst, kann nun auch direkt mit Init 3rdparty 1.6 benutzt werden.
 

stefan69

Benutzer
Mitglied seit
19. Mrz 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
12
Habe Init 3rdparty 1.6 installiert.Läuft. Aber bei der Installation von Rootkit Hunter kommt die Fehlermeldung: Kann nicht Installiert werden. DSM 4.3-3810 Update 3. Was mache ich falsch.
Mfg stefan69
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Du kannst das Paket nicht installieren oder den Rootkit Hunter nach der Installation des Paketes?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat