[Çözüldü] Rkhunter sorusu

Başlatan FeNDeR, 19 Şubat 2009 - 18:13:39

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

FeNDeR

Selamlar... Rkhunter analiz sonuçları bende eskisi gibi paranoya yaratmasa da son tarama sonucu ile ilgili bir şey sorma ihtiyacı hissettim. /sbin/sulogin ve /usr/bin/last dosyaları, saniyesine kadar aynı olan bir tarihte değişime uğramış. Bu tarih: 23 Ocak 2009 17:01:42. Şimdi, bu klasörlerdeki dosyaların özelliklerine baktığımda aynı saniyede değişmiş olan başka dosyalar da var: /usr/bin altında lastb ve mesg, /sbin altında ise killall5 ve bunlardan 1 saniye sonra değişmiş olan fsck.nfs adlı dosyalar. Ancak rkhunter bu dosyalarla ilgili bir uyarı vermiyor. Sadece başta belirttiğim 2 dosya için veriyor (sulogin ve last). Biraz işkillendim doğrusu. Ne olabilir sizce?   

heartsmagic

O tarihte güncelleme olmuş olmasın? Ayrıca verilen uyarıda tam olarak ne diyor?
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

FeNDeR

O tarihteki log'lara ulaşamıyorum. Log'larda o tarihleri bulamıyorum daha doğrusu. En eskisi şubat ayının ilk günlerini gösteriyor. Synaptic'e baktım, oradan herhangi bir paket kurmamışım o tarihte. Ubuntuforums'daki rkhunter mesajlarında bir çok uyarı mesajı var ancak aralarında sulogin ve last dosyalarını göremedim. Yani genelde benzer dosyalar için uyarı veriyor rkhunter ama bu dosyalara pek rastlamadım açıkçası. Uyarı mesajı şu:

[16:54:18] /sbin/sulogin                                     [ Warning ]
[16:54:18] Warning: The file properties have changed:
[16:54:18]          File: /sbin/sulogin
[16:54:18]          Current inode: 74445    Stored inode: 504083
[16:54:18]          Current file modification time: 1232722902
[16:54:18]          Stored file modification time : 1208581546

ve

[16:54:05] /usr/bin/last                                     [ Warning ]
[16:54:06] Warning: The file properties have changed:
[16:54:06]          File: /usr/bin/last
[16:54:06]          Current inode: 476834    Stored inode: 472001
[16:54:06]          Current file modification time: 1232722902
[16:54:06]          Stored file modification time : 1208581546

heartsmagic

Synaptic haricinde dpkg veri tabanı ile de bakılabiliyor güncellemelere sanırım ama şu an Ubuntu üzerinde olmadığım için kurcalayamıyorum. Fakat bana bir güncelleme sonrası değişiklik gibi geliyor bu. Çok da paranoyak olmamak lazım :) Bu kadar sürelik tecrübemde pek rkhunter kullanmışlığım yok.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

FeNDeR

Bana da bir güncelleme sonrası değişiklik gibi geliyor ama hangi güncelleme acaba? Onu bir bulabilsem, içim tam olarak rahat edecek. O günlerde aslında epeyce e17'yi kaldır, yeni versiyonu kur, tekrar kur, onu kaldır vs. şeklinde uğraşmışım. Ama sulogin ve last ile bir ilgisi var mı bilemedim. İşin ilginç yanı şu ki, bu dosyalarla ilgili uyarı mesajı alan sadece bir kişi bulabildim. Ancak bu kişiye de çok sağlıklı bir yanıt gelmemiş. Dosyaların orijinallerini bulup değiştirsem mi diye düşünüyorum. Ancak nereden bulacağım ve değiştirince problem çıkar mı çıkmaz mı gibi sorular da ardı ardına geliyor tabii :)

heartsmagic

sulogin ve last'ın ait olduğu paket: http://packages.ubuntu.com/intrepid/sysvinit-utils
Muhtemelen bu güncellenmiştir.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

FeNDeR

Hımm evet. /var/cache/apt/archives altında görünüyor. Pakete sağ tıklayıp özelliklerine baktığımda, değişim tarihi bu dosyaların 4-5 dakika sonrası olarak görünüyor. Sonra görünüyor ama sonuçta aynı gün içinde olmuş tüm değişiklikler. Şüphelenilecek bir durum var mı?

heartsmagic

Tahmin ettiğimiz gibi bir güncelleme sonucu olmuştur bu. Ben endişelenecek bir durum olduğunu sanmıyorum.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

FeNDeR

Tamamdır :) Konu iyice açıklığa kavuştu. Bu paketin içerisindeki gz paketleri birebir aynı tarihte değişmiş. Dolayısıyla, tahminimce önce bunlar güncellenmiş, sonra da sysvutils paketi 3-4 dakika sonra her şey güncellendikten sonra harddiskte yerini almış. Veya bunun gibi bir şey... Teşekkürler Heartsmagic.