Logs von debsecan, tiger, chkrootkit richtig auswerten.

S

shino

Tripel-As
Hallo!

ich habe debsecan drüber laufen lassen und der zeigt mir einen Haufen an low/medium/high urgency an, mit oder ohne remotly exploitable.
Wie es aussieht, ist es bei vielen "normal"... doch warum ist es so und wie soll ich da etwas herausfiltern, was wirklich ein Sicherheitsproblem darstellt??

bei chkrootkit sind z.B. folgende Zeilen für mich fragwürdig:

owing user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 847 tty7 /usr/bin/Xorg :0 -novtswitch -background none -noreset -verbose 3 -auth /var/run/gdm3/auth-for-Debian-gdm-8TyCMD/database -seat seat0 -nolisten tcp vt7

Was soll das denn heißen?

The following suspicious files and directories were found:
/usr/lib/icedove/.autoreg /usr/lib/pymodules/python2.7/.path /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo

icedove ist ja das Debian-Thunderbird. Java benutze ich für ein Prog. Warum sind die suspicious?


Bei tiger hab ich ein ähnliches Problem wie bei debsecan. Haufenweise Meldungen, die ich nicht beurteilen kann.

Macht tiger nicht auch schon rootkit-Checks und das, was debsecan auch macht? Braucht man da noch den Scan mit chkrootkit und debsecan?



Danke.


#Edit:
wenn ich Adminrechte über sudo bekomme, braucht der root einen Shellzugang? Braucht speech-dispatcher einen Shellzugang?
 
Zuletzt bearbeitet:

Ähnliche Themen

chkrootkit Checking `chkutmp'... The tty of the following user process(es) were not

Zurück
Oben