Ich möchte einige der Fehlalarme von chkrootkit auf eine „Whitelist“ setzen und sie daher /etc/chkrootkit.confals „Whitelist“ verwenden.
Aber das funktioniert nicht:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
Und ich erhalte immer noch die folgenden Fehlalarme:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
Ich weiß, dass es keine echte Whitelist ist, aber die Falschmeldungen sollten mir nicht jeden Tag E-Mails senden.
chkrootkit version 0.49
Antwort1
Sie könnten diese in ein ... legen.
/etc/chkrootkit.filter
Wenn Sie dies eingeben ...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
dhclient auf eth0 wird ignoriert. Fügen Sie diese Datei hinzu /etc/cron.daily/chkrootkit. Suchen Sie ...
$CHKROOTKIT $RUN_DAILY_OPTS
mit Ihrem bevorzugten Editor und ändern Sie es in ...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
und (irgendwo am Anfang) hinzufügen ...
FILTER=/etc/chkrootkit.filter
nach ...
CF=/etc/chkrootkit.conf
Machen Sie vor dem Start Folgendes …
./chkrootkit
Es sollte der falsch positive Verweis auf dhclient angezeigt werden. Nach der Bearbeitung sollte es erneut ausgeführt werden. Der Verweis auf dhclient sollte verschwunden sein.
Beachten Sie jedoch: Wenn Sie etwas hinzufügen, das infiziert wird, werden Sie nicht mehr gewarnt. Seien Sie also vorsichtig mit dieser Art der Filterung. Besser wäre es, wenn „sie“ ihre Definitionen aktualisieren würden.