Rkhunter : Warning: /usr/bin/unhide.rb

Article publié, le et modifié le
2 minute(s) de lecture

Cet article contient 320 mots.
Source brute de l'article : MD

Description

rkhunter peut parfois poser problème avec ce message d’alerte suivant :
Warning: The command ‘/usr/bin/unhide.rb’ has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

Analyse

⇒ La première chose à s’assurer que le binaire en question n’a pas été trafiqué, pour cela, utilisons le binaire debsums, tel que :
Bien-sûr, si vous ne l’avez pas installé, faites-le… mais c’est dommage.

# debsums unhide.rb
/usr/bin/unhide.rb OK
/usr/share/doc/unhide.rb/changelog.Debian.gz OK
/usr/share/doc/unhide.rb/copyright OK
/usr/share/lintian/overrides/unhide.rb OK
/usr/share/man/man8/unhide.rb.8.gz OK

⇒ Maintenant, par acquis de conscience, faites ceci :

$ cp /usr/bin/unhide.rb $HOME
# apt purge unhide.rb
# apt install unhide.rb
$ diff /usr/sbin/unhide.rb ~/unhide.rb

Si diff ne retourne aucune information, c’est que les deux fichiers en question sont identiques !
(à moins d’avoir eu la malchance d’avoir eu le binaire diff lui même modifié…)

Si tout semble ‘OK’, c’est que l’on a faire face au fameux faux positif de rkhunter concernant ce binaire !
ce qui devrait être le cas dans une installation fraîchement exécutée !

⇒ Contrôlons les sommes de contrôle différemment :

$ md5sum /usr/bin/unhide.rb
b1642389370e283c580de371b61ec3cb /usr/bin/unhide.rb
$ grep "usr/bin/unhide.rb" /var/lib/dpkg/info/unhide.rb.md5sums
b1642389370e283c580de371b61ec3cb usr/bin/unhide.rb


⇒ L’autre manière est de :

  • télécharger le binaire unhide.rb, depuis le dépôt officiel,
  • le décompresser et
  • comparer les sommes avec sha256sum, voire sha512sum ! - c’est même préférable

Si les sommes sont identiques, c’est tout bon !

Pensez à supprimer le fichier ~/unhide.rb que vous avez créé lors de la copie, précédemment !

Configuration

Puisque tout semble bon, modifions le fichier /etc/rkhunter.conf, pour modifier cette variable : PKGMGR=DPKG

Recharger la base de donnée de rkhunter, avec l’option --propupd, et lancez à nouveau le test.

Normalement, l’utilitaire unhide.rb devrait correctement être pris en charge…

Si jamais, ce n’était pas le cas :

  • vous pouvez décommenter la ligne suivante du fichier rkhunter.conf :
    #SCRIPTWHITELIST=/usr/bin/unhide.rb - mais gardez à l’esprit que ce n’est pas préférable/recommandable.

Si malgré tout, cela n’est pas bon, envisager sérieusement une réinstallation de votre Linux !!!