bash: /var/log/rkhunter.log: Permissão negada (como root - Linux Mint 18.3)

3

Acho que meu laptop Linux foi invadido por três motivos:

  1. Sempre que eu salvo arquivos na pasta Home, os arquivos não aparecem, nem mesmo nas outras pastas do meu computador.

  2. Um arquivo .txt desconhecido apareceu na minha pasta pessoal. Tendo notado, não abri. Eu imediatamente suspeitei que talvez meu laptop tenha sido hackeado.

  3. Ao verificar o status do meu firewall, descobri que ele estava inativo.

Assim, executei as seguintes etapas:

  1. Eu fiz o backup de todos os meus arquivos recentes usando dois USB Sticks que não são tão importantes quanto os outros USB Sticks que possuo - então, caso esses USB Sticks sejam infectados com o malware em potencial, infectar meus outros arquivos importantes de backup.

  2. Eu usei o ClamTK para verificar o arquivo suspeito mencionado anteriormente - mas aparentemente, por algum motivo, não detectou ameaças.

  3. Eu usei o chkrootkit para outra varredura. Esta é a saída (até esse ponto, nada parecia ter sido infectado):

    Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
    /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.13.0-39-generic/vdso/.build-id /lib/modules/4.13.0-37-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id /lib/modules/4.13.0-36-generic/vdso/.build-id /lib/modules/4.13.0-32-generic/vdso/.build-id /lib/modules/4.13.0-38-generic/vdso/.build-id
    /usr/lib/debug/.build-id /lib/modules/4.13.0-39-generic/vdso/.build-id /lib/modules/4.13.0-37-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id /lib/modules/4.13.0-36-generic/vdso/.build-id /lib/modules/4.13.0-32-generic/vdso/.build-id /lib/modules/4.13.0-38-generic/vdso/.build-id
    

    E também:

    Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd
    
  4. Eu estava tentando - duas vezes - digitalizar meu laptop com o F-PROT, com fpscan, usando Ultimate Boot CD. Mas quando tentei entrar na seção PartedMagic do disco para usar a ferramenta, ela simplesmente não funcionaria. Duas vezes. Então eu não fui capaz de usá-lo.

  5. Ao digitar sudo freshclam , recebi a seguinte saída:

    ERROR: /var/log/clamav/freshclam.log is locked by another process
    ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
    
  6. Depois, examinei o computador usando o rkhunter. Estes são os avisos que recebi:

      /usr/bin/lwp-request                                     [ Warning ]
    
      Performing filesystem checks
        Checking /dev for suspicious file types                  [ Warning ]
        Checking for hidden files and directories                [ Warning ]
    

    E este é o resumo:

    System checks summary
    =====================
    
    File properties checks...
        Files checked: 143
        Suspect files: 1
    
    Rootkit checks...
        Rootkits checked : 365
        Possible rootkits: 0
    
    Applications checks...
        All checks skipped
    
    The system checks took: 1 minute and 10 seconds
    
    All results have been written to the log file: /var/log/rkhunter.log
    
    One or more warnings have been found while checking the system.
    Please check the log file (/var/log/rkhunter.log)
    

Então, depois de tudo isso - eu não tenho acesso ao arquivo de log do rkhunter como root:

n-even@neven-Lenovo-ideapad-310-14ISK ~ $ sudo su
neven-Lenovo-ideapad-310-14ISK n-even # /var/log/rkhunter.log
bash: /var/log/rkhunter.log: Permission denied

O que eu deveria estar fazendo agora?

Ajuda muito apreciada! Muito obrigado.

    
por N Even 07.05.2018 / 10:46

2 respostas

19

Com base nos detalhes da sua pergunta, seu sistema está limpo .

  1. Você está fazendo backups. OK.

  2. clamav aparece limpo. Tudo bem também.

  3. Com base na sua saída de chkrootkit , seu sistema está limpo. Esses arquivos listados como suspeitos são benignos. A detecção de Ebury / Windigo é um falso positivo: link

  4. Alguns dos discos ao vivo que você tentou não funcionaram. Tudo bem.

  5. Já pode haver um atualizador sendo executado como um daemon.

  6. Você está tentando executar o arquivo de log. Visualize-o em um pager, como less /var/log/rkhunter.log .

Do ponto de vista lógico, chkrootkit e rkhunter não são muito úteis se forem usados para varrer o mesmo sistema em que são executados, pois não são verificadores em tempo real, portanto, qualquer rootkit decentemente empacotado teria sabatado os scanners antes eles são executados. Além disso, ambos têm heurísticas que resultam em muitos falsos positivos.

Os arquivos salvos que não aparecem raramente são uma indicação de comprometimento do sistema. Sem saber o conteúdo do arquivo .txt "suspeito" que você mencionou, não pode haver nenhuma conclusão tirada disso. DEADJOE é um arquivo de backup criado pelo editor de texto JOE. O firewall no Linux Mint está desativado por padrão.

Editar: Adicionadas informações no arquivo DEADJOE.

    
por 07.05.2018 / 11:02
11
neven-Lenovo-ideapad-310-14ISK n-even # /var/log/rkhunter.log
bash: /var/log/rkhunter.log: Permission denied

Você está tentando executar um arquivo de log. Claro que isso falha; o bit + x provavelmente não está definido para isso.

Você deseja ler o arquivo de log e não executá-lo. Experimente sudo less /var/log/rkhunter.log .

    
por 07.05.2018 / 11:01