[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Xzibit Rootkit

* Klaus Becker <colonius@free.fr> wrote:
> 
> ich hab' mir die 3 Dateien angeschaut und kann ichts auffälliges entdecken, 
> auch nicht in den Zeilen, wo "hdparm" vorkommt.
> 
> Rkhunter vermeldet u. A.:
> 
> Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit 
> Rootkit
> Found string 'hdparm' in file '/etc/init.d/bootlogd'. Possible rootkit: Xzibit 
> Rootkit
> Found string 'hdparm' in file '/etc/init.d/checkroot.sh'. Possible rootkit: 
> Xzibit Rootkit


Diese hdparm false positives sind jetzt schon ein paar mal Thema in
rkhunter-users gewesen, 
http://www.mail-archive.com/rkhunter-users@lists.sourceforge.net/msg01744.html

und ein Bugreport existiert dazu auch schon
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=559696

Ein
,----
| RTKT_FILE_WHITELIST="/etc/init.d/checkroot.sh /etc/init.d/hdparm"
`----
und auf anraten von John Horne 
# NOTE: It is recommended that if you whitelist any files, then you include
# those files in the file properties check. See the USER_FILEPROP_FILES_DIRS
# configuration option.
noch
,----
| USER_FILEPROP_FILES_DIRS="!/etc/init.d/checkroot.sh !/etc/init.d/hdparm"
`----
in /etc/rkhunter.conf.local sollte ausreichen. Du müsstest halt noch um
die bootlogd ergänzen.


Gruß
Jens
Reply to: