%

Rkhunter : Warning: /usr/bin/unhide.rb

Article publié, le et modifié le
2 minutes de lecture

Cet article contient 320 mots.
Source brute de l'article :
Commit version : d58c6ca

Description

rkhunter peut parfois poser problème avec ce message d’alerte suivant : Warning: The command ‘/usr/bin/unhide.rb’ has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

Analyse

⇒ La première chose à s’assurer que le binaire en question n’a pas été trafiqué, pour cela, utilisons le binaire debsums, tel que : Bien-sûr, si vous ne l’avez pas installé, faites-le… mais c’est dommage.

# debsums unhide.rb /usr/bin/unhide.rb OK /usr/share/doc/unhide.rb/changelog.Debian.gz OK /usr/share/doc/unhide.rb/copyright OK /usr/share/lintian/overrides/unhide.rb OK /usr/share/man/man8/unhide.rb.8.gz OK

⇒ Maintenant, par acquis de conscience, faites ceci :

$ cp /usr/bin/unhide.rb $HOME # apt purge unhide.rb # apt install unhide.rb $ diff /usr/sbin/unhide.rb ~/unhide.rb

Si diff ne retourne aucune information, c’est que les deux fichiers en question sont identiques ! (à moins d’avoir eu la malchance d’avoir eu le binaire diff lui même modifié…)

Si tout semble ‘OK’, c’est que l’on a faire face au fameux faux positif de rkhunter concernant ce binaire ! ce qui devrait être le cas dans une installation fraîchement exécutée !

⇒ Contrôlons les sommes de contrôle différemment :

$ md5sum /usr/bin/unhide.rb b1642389370e283c580de371b61ec3cb /usr/bin/unhide.rb $ grep "usr/bin/unhide.rb" /var/lib/dpkg/info/unhide.rb.md5sums b1642389370e283c580de371b61ec3cb usr/bin/unhide.rb


⇒ L’autre manière est de :

  • télécharger le binaire unhide.rb, depuis le dépôt officiel,
  • le décompresser et
  • comparer les sommes avec sha256sum, voire sha512sum ! - c’est même préférable

Si les sommes sont identiques, c’est tout bon !

Pensez à supprimer le fichier ~/unhide.rb que vous avez créé lors de la copie, précédemment !

Configuration

Puisque tout semble bon, modifions le fichier /etc/rkhunter.conf, pour modifier cette variable : PKGMGR=DPKG

Recharger la base de donnée de rkhunter, avec l’option --propupd, et lancez à nouveau le test.

Normalement, l’utilitaire unhide.rb devrait correctement être pris en charge…

Si jamais, ce n’était pas le cas :

  • vous pouvez décommenter la ligne suivante du fichier rkhunter.conf : #SCRIPTWHITELIST=/usr/bin/unhide.rb - mais gardez à l’esprit que ce n’est pas préférable/recommandable.

Si malgré tout, cela n’est pas bon, envisager sérieusement une réinstallation de votre Linux !!!