Anzeige:
Ergebnis 1 bis 10 von 10

Thema: Debian 10 rkhunter gnome-terminal rootkit warnung

  1. #1
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    141

    Debian 10 rkhunter gnome-terminal rootkit warnung [gelöst]

    Hallo,
    vielleicht kann mir jemand weiterhelfen. Ich bekomme seit dem ich Gestern ein Upgrade von Debian 9 auf Debian 10 gemacht habe folgende Meldung angezeigt beim ausführen von:

    Code:
    rkhunter --sk -c
    Ausgabe:
    Code:
    Checking for suspicious (large) shared memory segments   [ Warnung ]
    in /var/log/rkhunter.log:

    Code:
    [13:21:31] Information: Beginne mit dem Test 'ipc_shared_mem'
    [13:21:31] Information: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
    [13:21:31]   Checking for suspicious (large) shared memory segments [ Warnung ]
    [13:21:31] Warnung: The following suspicious (large) shared memory segments have been found:
    [13:21:31]          Process: /usr/lib/gnome-terminal/gnome-terminal-server    PID: 3941    Owner: shelly    Size: 16MB (configured size allowed: 1,0MB)
    Ein Vollständiges Deinstallieren des gnome-terminal (einschließlich aller konfigurationsdateien) behebt zwar das Anzeigen der Warnung, kann aber wohl nur eine vorrübergehende Lösung sein.
    Sobald ich das gnome-terminal wieder installiere bekomme ich von rkhunter wieder die Warnung angezeigt.
    Im Moment gehe ich noch von einer Falschpositivmeldung aus. Ein echtes Rootkit auf meinem Laptop ist doch eher unwahrscheinlich denke ich. Ich hätte aber gern etwas mehr gewissheit und hoffe das bei euch jemand dazu mehr weiß.

    Nachtrag: Ich habe jetzt mal das gnome-terminal gegen das xfce4-terminal getauscht und bekomme die gleiche Meldung:

    Code:
    [14:34:43] Information: Beginne mit dem Test 'ipc_shared_mem'
    [14:34:43] Information: The minimum shared memory segment size to be checked (in bytes): 1048576 (1,0MB)
    [14:34:43]   Checking for suspicious (large) shared memory segments [ Warnung ]
    [14:34:44] Warnung: The following suspicious (large) shared memory segments have been found:
    [14:34:44]          Process: /usr/bin/xfce4-terminal    PID: 4025    Owner: shelly    Size: 16MB (configured size allowed: 1,0MB)
    Also entweder sind die Terminal Anwendungen kaputt oder rkhunter ist kaputt.
    Geändert von blauer-fleck (18.08.19 um 09:39 Uhr)

  2. #2
    eigentlich keine Blondine
    Registriert seit
    Mar 2010
    Beiträge
    931
    Das Programm ist nicht "kaputt", sondern du hast es so (nicht) eingestellt, dass es das für den xfce4-Terminal reservierte Speichersegment als verdächtig einstuft, weil es so groß ist. Nicht jede Warnung bedeutet "hier ist ein Rootkit". Die Warnungen bedeuten "guck mal nach, was es damit auf sich hat".
    Unter Linux eine .exe-Datei ausführen ist ganz einfach. Man nimmt eine beliebige unter Linux ausführbare Datei, benennt sie um in AusfuehrbareDatei.exe und führt sie aus.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    141
    Entschuldigung dafür das ich erst jetzt in der Lage bin dir zu Antworten.

    Wenn du meinen Beitrag noch mal liest wirst du bestimmt feststellen das ich nicht von einem Rootkit Befall ausgehe. Ich bin kein Experte, aber die Einstellung von der du schreibst kenne ich nicht. Vielleicht kannst du mir ja verraten wie ich rkhunter einstellen kann damit die Terminalanwendungen nicht mehr als rootkit angezeigt werden. Ich habe dazu leider nichts finden können.
    Außerdem wollte ich ja auch rausfinden ob ich der einzige bin bei dem dieses verhalten auftritt, scheinbar ist dies so. Ich würde mich damit ja auch an die Entwickler wenden leider reicht mein englisch dafür nicht aus.

  4. #4
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Man sollte Programme, bei denen man nicht weiß, was sie machen, einfach nicht starten. Punkt.

    Du bist vermutlich der erste, der das Programm in dieser Konstellation bei einem Desktop-Linux gestartet hat.

  5. #5
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    22.054
    Zitat Zitat von blauer-fleck Beitrag anzeigen
    Ich habe dazu leider nichts finden können.
    Google meint mit der Fehlermeldung:
    https://serverfault.com/questions/69...emory-segments
    Ich bin root - ich darf das.

  6. #6
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    141
    Zitat Zitat von stefan.becker Beitrag anzeigen
    Man sollte Programme, bei denen man nicht weiß, was sie machen, einfach nicht starten. Punkt.
    Nach dieser Devise darf dann ja niemand mehr Rechner benutzen, ich würde nicht behaupten das ich weiß was Grub oder der Linuxkernel oder ein Windowskernel macht ect.
    Merkste selber oder?


    Zitat Zitat von stefan.becker Beitrag anzeigen
    Du bist vermutlich der erste, der das Programm in dieser Konstellation bei einem Desktop-Linux gestartet hat.
    Wohl eher nicht, in meiner ehemaligen LUG verwendeten es fast alle auf dem Desktop, denn was soll daran wohl verkehrt sein?

  7. #7
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    141
    Zitat Zitat von marce Beitrag anzeigen
    Vielen dank, das war ja schon was ich suchte.

  8. #8
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    22.054
    ich würde die Aussage von stefan.becker so formulieren: Wer Tools zur Analyse des Systems einsetzt, sollte deren Ausgaben entsprechend bewerten können und auch die "Eigenheiten" der jeweiligen Tools kennen.
    Ich bin root - ich darf das.

  9. #9
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    141
    Grundsätzlich stimme ich dem ja zu. Aber ich würde den Helden selbst mal kennen lernen der alle programme mit allen neuerungen schon kennt bevor er ein upgrade auf ein neues os macht. Bei debian sind das dann aber schon ziemlich viele prgamme und konfigurationen.
    in der Theorie ist der Nerd immer der größte.
    Ich benutze Debian schon seid version 2.2r2, also schon ein bischen länger und damals haben wir einfach nur versucht uns gegenseitig zu helfen. Heute scheint das eher eine ausnahme zu sein, heute scheint man lieber zu posen und den oberlehrer zu spielen. Eigentlich dachte ich dafür gäbe es facebook twitter und co. Nunja genau deshalb bin ich nur noch selten in foren unterwegs, weil ich auf sowas null bock habe, und damit ziehe ich mich hier wieder raus. Schönen Sonntag noch.

  10. #10
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Zitat Zitat von marce Beitrag anzeigen
    ich würde die Aussage von stefan.becker so formulieren: Wer Tools zur Analyse des Systems einsetzt, sollte deren Ausgaben entsprechend bewerten können und auch die "Eigenheiten" der jeweiligen Tools kennen.
    Genau das meine ich.

    Man sieht es auch beim Trojanerboard. Da rufen Laien ein Tool nach dem anderen auf und interpretieren dann irgendeinen Käse in die Logs. Entweder man hat Ahnung vom Tool und nutzt es. Oder man lässt es eben.

    Ich habe übrigens auch keine Ahnung von rkhunter und rufe es deshalb auch garnicht auf.

Ähnliche Themen

  1. rkhunter - Warnung
    Von scorpius im Forum Sicherheit
    Antworten: 12
    Letzter Beitrag: 02.01.07, 12:26
  2. Gnome Terminal
    Von Houly im Forum Windowmanager
    Antworten: 3
    Letzter Beitrag: 01.12.05, 20:18
  3. Nervige Warnung von syslog im Terminal - wie abschalten
    Von corax im Forum Linux Allgemein
    Antworten: 6
    Letzter Beitrag: 04.10.05, 16:36
  4. Debian + rkhunter = kein MD5 Check?
    Von ChandlerBing im Forum Sicherheit
    Antworten: 4
    Letzter Beitrag: 23.08.04, 10:42
  5. Gnome + gmc bei Suse Linux 7.2 / Warnung?
    Von hjl im Forum Windowmanager
    Antworten: 2
    Letzter Beitrag: 25.02.02, 20:21

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •