نتائج غير مفهومه في Rootkit Hunter

[q8aziz]

السلام عليكم ورحمة الله

ركبت على سيرفري من فترة Rootkit Hunter حتى أراقب السيرفر من خلال التقرير اليومي الذي يبعثه على البريد ..
من هذه النتائج

Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]
Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible
risk!
info:
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning (SSH v1 allowed) ]

* Check: Events and Logging
Search for syslog configuration... [ OK ]
Checking for running syslog slave... [ OK ]
Checking for logging to remote system... [ OK (no remote logging) ]

---------------------------- Scan results ----------------------------

MD5
MD5 compared: 115
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 5

Scanning took 87 seconds

-----------------------------------------------------------------------

ومره من المرات في أحدى التقارير ظهرت لي هذه النتيجة

Checking for differences in user accounts... Found differences
Info:
----------------------
< USER:x:32007:509::/home2/USER:/bin/false
> USER:x:32007:509::/home2/USER:/bin/bash
----------------------
Info: Some items have been added (items marked with '<')
Info: Some items have been removed (items marked with '>')
Checking for differences in user groups... OK. No changes.
Checking boot.local/rc.local file...
- /etc/rc.local [ OK ]
- /etc/rc.d/rc.local [ OK ]
- /usr/local/etc/rc.local [ Not found ]
- /usr/local/etc/rc.d/rc.local [ Not found ]
- /etc/conf.d/local.start [ Not found ]
- /etc/init.d/boot.local [ Not found ]
Checking rc.d files...

اتمنى من الاخوان الإفادة ..

[q8aziz]

للرفع !

[web4host]

عندك Application scan Vulnerable applications: 5 تحتاج الي تحديث لاكن ماقدر اقولك بسبب انك لم تكتب نتيجة الفحص كامله
اعمل تحديث للبرنامج

كود:

/usr/local/bin/rkhunter --update

ثم اعمل فحص

كود:

/usr/local/bin/rkhunter -c

:nice:
وهات الناتج كامل

والمهم Checking for allowed protocols... [ Warning (SSH v1 allowed) ]
ممكن الدخول للشل عن طريق البرتكول 1 وهذا خطر يجب ان تحدد البرتكول 2 فقط

[q8aziz]

سويت ابديت .. والنتائج متشابهه حسب ملاحظتي ..

ولكن كيف الآن اخليه على بروتوكول 2 ؟

والمهم Checking for allowed protocols... [ Warning (SSH v1 allowed) ]
ممكن الدخول للشل عن طريق البرتكول 1 وهذا خطر يجب ان تحدد البرتكول 2 فقط

؟1

وشكرًا لك

[web4host]

1- بلنسبه للـ Application scan Vulnerable applications: 5 كيف اعرفها و انت لم تكتب نتيجة الفحص كامله.
2- لتحديد البرتكول 2 يجب تحرير الملف sshd_config وبحث عن Protocol وحدد Protocol 2 ثم اعادة تشغيل service sshd restart

[Ali Hamad]

السلام عليكم ورحمة الله
ركبت على سيرفري من فترة Rootkit Hunter حتى أراقب السيرفر من خلال التقرير اليومي الذي يبعثه على البريد ..
من هذه النتائج
ومره من المرات في أحدى التقارير ظهرت لي هذه النتيجة
اتمنى من الاخوان الإفادة ..

عليكم السلام يالغالي ، يامرحبتين باهل الكويت " q8aziz " ، ولعيون عبدالله سامي الي من زمان ماشفناه وتوه مكلمني الحين على المسنجر ، نرد عليك ونشارك وليش لا

Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]
Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible
risk!
info:
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning (SSH v1 allowed) ]

هذي ياطويل العمر الركهنتر راح يشيك على الملف مال الكونفيق الخاص بخدمة ال SSH ولقى انك معطي صلاحية للشل انه يشتغل في البروتوكول رقم واحد وهو غير امن ، ولقى ان الروت مو معمول له disable وتستخدم دخول عن طريق يوزر ثاني في الويل قروب بامر switch user الي هو su root ، switch from normal user in wheel group to Root user

وش الي علي اسويه طيب :

كود PHP:

nano -w /etc/ssh/sshd_config 


بتلاقي سطر مثل كذا :

كود PHP:

#Protocol 2, 1 


خليه يصير مثل كذا :
بحذف علامة # واحذف رقم 1 والفاصلة بحيث يصير تالي :

كود PHP:

Protocol 2 


كيف تعطل دخول الروت وتسوي لك يوزر ثاني يخش على السيرفر في الويل جروب :


1) اضافة يوزر واضافته على اساس انه عضو في الويل جروب :

كود PHP:

useradd -g wheel -p Passwod USER 


بدل كلمة Passwd بالباسورد الي انت تبيه
بدل كلمة User باليوزر الي تبيه وعلى سبيل المثال :

كود PHP:

useradd -g wheel -p yemmy23o admin 


اليوزر ادمن ، الباسور yemmy23o الجروب wheel .

2) لو حاس بدوشة من الي فوق سوي التالي :

كود PHP:

useradd USER 


بدل يوزر باسم اليوزر الي تبيه

غير باسورد اليوزر :

كود PHP:

passwd User 


بعدين دخل الباسورد الي تبيه لما يطلبه منك .

بعدين خش ال WHM وروح الى خيار Manage Wheel group وضيف اليوزر من هناك للمجموعة .

بعد كذا بتعدل ملف الكونيق كالتالي :

كود PHP:

nano -w /etc/ssh/sshd_config 


ابحث عن سطر كالتالي :

كود PHP:

#PermitRootLogin yes 


خليه يصير بعد التعديل كذا :
شلنا علامة ال # وغيرنا yes وخليناها No

كود PHP:

PermitRootLogin no 


خلصت كل التعديلات ، عيد تشغيل الشل علشان تلقم التغغيرات :

كود PHP:

/etc/init.d/sshd restart 


وانت في الشل لاتطلع ، افتح جلسة ثانية في الشل ، يعني شاشة ثانية وجرب الدخول باليوزر الي انت سويته واضفته في الويل جروب ، وبعدين اكتب الامر su root وحط باسورد الروت ، لو خش معاك ، تمام التمام وانت سويت كل شيء صح ، لو ماخش ، لاتطلع الا بعد ماتصلح الخطأ لانه لو طلعت ، يبي للداتا سنتر تخش سنقل يوزر مود ، وتعدل الخطأ لك علشان يقدر يخش الروت شل مره ثانية .

Checking for differences in user accounts... Found differences
Info:
----------------------
< USER:x:32007:509::/home2/USER:/bin/false
> USER:x:32007:509::/home2/USER:/bin/bash
----------------------
Info: Some items have been added (items marked with '<')
Info: Some items have been removed (items marked with '>')

شوف يالغالي :
الركهنتر في عمله اول ماتشغله اول مره ، يقوم وينشى ملف يجمع فيها كل اسماء اليوزرات والقروبات في السيرفر يعني بالفلاحي ملف /etc/passwd و /etc/group ويحفظهم عندهم وفي كل مره تشغله مره ثانية يشيك بين الموجود حاليا وبين الي كان موجود لما شغله ويحفظ عنده نسخه علشان التشييك مره ثانية ، من هنا وش تستفيد انت امنيا ؟ يعلمك وش اليوزر الي انحذف من السيرفر وش اليوزر الي انضاف من تالي وش رقم الاي دي حق والقروب اي دي علشان وهل له دخول شل او ايش قصته بالضبط ، ويعلم لك اليوزر الي انحذف بعلامة "<" ويعلم لك اليوزر الي انحذف بعلامة ">" يعني احفظها مثلي ( انحذف يعني راس السهم كانه طالع برا وانضاف يعني راس السهم كانه داخل جوا " ).

والدليل على صحة الكلام ، لما شتغل الركهنتر ويطلع لك نتيجه مثل الي فوق ، شغله مره ثانية مابتشوفه يعيدها مره ثانية ؟ ليش ؟ لانه اصلا طلع لك التقرير اول مره وحدث النسخه الي هو ماخذها من البداية ، ويالله على هذا المنوال .

وياعبدالله سامي لاتقطعنا مره ثانية ، ترى باشهربك اليوم :nice:

خالص التحية ،
علي حمد ،

[q8aziz]

مشكورين جميعًا على ردودكم المفيدة ..

والله يرد لكم عبد الله سامي )

شكرًا مرة أخرى