Re: Xzibit Rootkit
* Klaus Becker <colonius@free.fr> wrote:
>
> ich hab' mir die 3 Dateien angeschaut und kann ichts auffälliges entdecken,
> auch nicht in den Zeilen, wo "hdparm" vorkommt.
>
> Rkhunter vermeldet u. A.:
>
> Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit
> Rootkit
> Found string 'hdparm' in file '/etc/init.d/bootlogd'. Possible rootkit: Xzibit
> Rootkit
> Found string 'hdparm' in file '/etc/init.d/checkroot.sh'. Possible rootkit:
> Xzibit Rootkit
Diese hdparm false positives sind jetzt schon ein paar mal Thema in
rkhunter-users gewesen,
http://www.mail-archive.com/rkhunter-users@lists.sourceforge.net/msg01744.html
und ein Bugreport existiert dazu auch schon
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=559696
Ein
,----
| RTKT_FILE_WHITELIST="/etc/init.d/checkroot.sh /etc/init.d/hdparm"
`----
und auf anraten von John Horne
# NOTE: It is recommended that if you whitelist any files, then you include
# those files in the file properties check. See the USER_FILEPROP_FILES_DIRS
# configuration option.
noch
,----
| USER_FILEPROP_FILES_DIRS="!/etc/init.d/checkroot.sh !/etc/init.d/hdparm"
`----
in /etc/rkhunter.conf.local sollte ausreichen. Du müsstest halt noch um
die bootlogd ergänzen.
Gruß
Jens
Reply to: