Anzeige:
Results 1 to 10 of 10

Thread: Debian 10 rkhunter gnome-terminal rootkit warnung

  1. #1
    Registrierter Benutzer
    Join Date
    Sep 2006
    Posts
    141

    Debian 10 rkhunter gnome-terminal rootkit warnung [gelöst]

    Hallo,
    vielleicht kann mir jemand weiterhelfen. Ich bekomme seit dem ich Gestern ein Upgrade von Debian 9 auf Debian 10 gemacht habe folgende Meldung angezeigt beim ausführen von:

    Code:
    rkhunter --sk -c
    Ausgabe:
    Code:
    Checking for suspicious (large) shared memory segments   [ Warnung ]
    in /var/log/rkhunter.log:

    Code:
    [13:21:31] Information: Beginne mit dem Test 'ipc_shared_mem'
    [13:21:31] Information: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
    [13:21:31]   Checking for suspicious (large) shared memory segments [ Warnung ]
    [13:21:31] Warnung: The following suspicious (large) shared memory segments have been found:
    [13:21:31]          Process: /usr/lib/gnome-terminal/gnome-terminal-server    PID: 3941    Owner: shelly    Size: 16MB (configured size allowed: 1,0MB)
    Ein Vollständiges Deinstallieren des gnome-terminal (einschließlich aller konfigurationsdateien) behebt zwar das Anzeigen der Warnung, kann aber wohl nur eine vorrübergehende Lösung sein.
    Sobald ich das gnome-terminal wieder installiere bekomme ich von rkhunter wieder die Warnung angezeigt.
    Im Moment gehe ich noch von einer Falschpositivmeldung aus. Ein echtes Rootkit auf meinem Laptop ist doch eher unwahrscheinlich denke ich. Ich hätte aber gern etwas mehr gewissheit und hoffe das bei euch jemand dazu mehr weiß.

    Nachtrag: Ich habe jetzt mal das gnome-terminal gegen das xfce4-terminal getauscht und bekomme die gleiche Meldung:

    Code:
    [14:34:43] Information: Beginne mit dem Test 'ipc_shared_mem'
    [14:34:43] Information: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
    [14:34:43]   Checking for suspicious (large) shared memory segments [ Warnung ]
    [14:34:44] Warnung: The following suspicious (large) shared memory segments have been found:
    [14:34:44]          Process: /usr/bin/xfce4-terminal    PID: 4025    Owner: shelly    Size: 16MB (configured size allowed: 1,0MB)
    Also entweder sind die Terminal Anwendungen kaputt oder rkhunter ist kaputt.
    Last edited by blauer-fleck; 18.08.19 at 09:39.

  2. #2
    eigentlich keine Blondine
    Join Date
    Mar 2010
    Posts
    929
    Das Programm ist nicht "kaputt", sondern du hast es so (nicht) eingestellt, dass es das für den xfce4-Terminal reservierte Speichersegment als verdächtig einstuft, weil es so groß ist. Nicht jede Warnung bedeutet "hier ist ein Rootkit". Die Warnungen bedeuten "guck mal nach, was es damit auf sich hat".
    Unter Linux eine .exe-Datei ausführen ist ganz einfach. Man nimmt eine beliebige unter Linux ausführbare Datei, benennt sie um in AusfuehrbareDatei.exe und führt sie aus.

  3. #3
    Registrierter Benutzer
    Join Date
    Sep 2006
    Posts
    141
    Entschuldigung dafür das ich erst jetzt in der Lage bin dir zu Antworten.

    Wenn du meinen Beitrag noch mal liest wirst du bestimmt feststellen das ich nicht von einem Rootkit Befall ausgehe. Ich bin kein Experte, aber die Einstellung von der du schreibst kenne ich nicht. Vielleicht kannst du mir ja verraten wie ich rkhunter einstellen kann damit die Terminalanwendungen nicht mehr als rootkit angezeigt werden. Ich habe dazu leider nichts finden können.
    Außerdem wollte ich ja auch rausfinden ob ich der einzige bin bei dem dieses verhalten auftritt, scheinbar ist dies so. Ich würde mich damit ja auch an die Entwickler wenden leider reicht mein englisch dafür nicht aus.

  4. #4
    Mod. FAQ/Howto/Emulation
    Join Date
    Sep 2000
    Posts
    17.197
    Man sollte Programme, bei denen man nicht weiß, was sie machen, einfach nicht starten. Punkt.

    Du bist vermutlich der erste, der das Programm in dieser Konstellation bei einem Desktop-Linux gestartet hat.

  5. #5
    Registrierter Benutzer
    Join Date
    Dec 2003
    Location
    Dettenhausen
    Posts
    21.214
    Quote Originally Posted by blauer-fleck View Post
    Ich habe dazu leider nichts finden können.
    Google meint mit der Fehlermeldung:
    https://serverfault.com/questions/69...emory-segments
    Ich bin root - ich darf das.

  6. #6
    Registrierter Benutzer
    Join Date
    Sep 2006
    Posts
    141
    Quote Originally Posted by stefan.becker View Post
    Man sollte Programme, bei denen man nicht weiß, was sie machen, einfach nicht starten. Punkt.
    Nach dieser Devise darf dann ja niemand mehr Rechner benutzen, ich würde nicht behaupten das ich weiß was Grub oder der Linuxkernel oder ein Windowskernel macht ect.
    Merkste selber oder?


    Quote Originally Posted by stefan.becker View Post
    Du bist vermutlich der erste, der das Programm in dieser Konstellation bei einem Desktop-Linux gestartet hat.
    Wohl eher nicht, in meiner ehemaligen LUG verwendeten es fast alle auf dem Desktop, denn was soll daran wohl verkehrt sein?

  7. #7
    Registrierter Benutzer
    Join Date
    Sep 2006
    Posts
    141
    Quote Originally Posted by marce View Post
    Vielen dank, das war ja schon was ich suchte.

  8. #8
    Registrierter Benutzer
    Join Date
    Dec 2003
    Location
    Dettenhausen
    Posts
    21.214
    ich würde die Aussage von stefan.becker so formulieren: Wer Tools zur Analyse des Systems einsetzt, sollte deren Ausgaben entsprechend bewerten können und auch die "Eigenheiten" der jeweiligen Tools kennen.
    Ich bin root - ich darf das.

  9. #9
    Registrierter Benutzer
    Join Date
    Sep 2006
    Posts
    141
    Grundsätzlich stimme ich dem ja zu. Aber ich würde den Helden selbst mal kennen lernen der alle programme mit allen neuerungen schon kennt bevor er ein upgrade auf ein neues os macht. Bei debian sind das dann aber schon ziemlich viele prgamme und konfigurationen.
    in der Theorie ist der Nerd immer der größte.
    Ich benutze Debian schon seid version 2.2r2, also schon ein bischen länger und damals haben wir einfach nur versucht uns gegenseitig zu helfen. Heute scheint das eher eine ausnahme zu sein, heute scheint man lieber zu posen und den oberlehrer zu spielen. Eigentlich dachte ich dafür gäbe es facebook twitter und co. Nunja genau deshalb bin ich nur noch selten in foren unterwegs, weil ich auf sowas null bock habe, und damit ziehe ich mich hier wieder raus. Schönen Sonntag noch.

  10. #10
    Mod. FAQ/Howto/Emulation
    Join Date
    Sep 2000
    Posts
    17.197
    Quote Originally Posted by marce View Post
    ich würde die Aussage von stefan.becker so formulieren: Wer Tools zur Analyse des Systems einsetzt, sollte deren Ausgaben entsprechend bewerten können und auch die "Eigenheiten" der jeweiligen Tools kennen.
    Genau das meine ich.

    Man sieht es auch beim Trojanerboard. Da rufen Laien ein Tool nach dem anderen auf und interpretieren dann irgendeinen Käse in die Logs. Entweder man hat Ahnung vom Tool und nutzt es. Oder man lässt es eben.

    Ich habe übrigens auch keine Ahnung von rkhunter und rufe es deshalb auch garnicht auf.

Similar Threads

  1. rkhunter - Warnung
    By scorpius in forum Sicherheit
    Replies: 12
    Last Post: 02.01.07, 12:26
  2. Gnome Terminal
    By Houly in forum Windowmanager
    Replies: 3
    Last Post: 01.12.05, 20:18
  3. Replies: 6
    Last Post: 04.10.05, 16:36
  4. Debian + rkhunter = kein MD5 Check?
    By ChandlerBing in forum Sicherheit
    Replies: 4
    Last Post: 23.08.04, 10:42
  5. Gnome + gmc bei Suse Linux 7.2 / Warnung?
    By hjl in forum Windowmanager
    Replies: 2
    Last Post: 25.02.02, 20:21

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •