所以我只是安装并运行猎头者这对我显示绿色“确定”/“未找到”,除了:/usr/bin/lwp-请求,像这样:
/usr/bin/lwp-request [ Warning ]
日志中写道:
Warning: The command '/usr/bin/lwp-request' has been replaced by a
script: /usr/bin/lwp-request: Perl script text executable
我已经跑了rkhunter --propupd,但这sudo apt-get update && sudo apt-get upgrade没有帮助。我几天前刚刚安装了 Debian 9.0,并且是 Linux 的新手。
有什么建议吗?
编辑: 此外chkrootkit给了我这个:
发现以下可疑文件和目录:
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework
我想这是一个单独的问题?或者这根本就不是问题?我不知道如何检查这些文件/目录是否正常并且需要。
编辑:注意,我曾经也收到过“检查密码文件更改”和“检查组文件更改”的警告,即使我没有更改任何此类 afaik。较早和较晚的扫描均未显示任何警告 - 这些仅显示一次。有任何想法吗?
答案1
rkhunter需要知道您正在使用什么包管理器。
创建或编辑/etc/rkhunter.conf.local并添加以下行:
PKGMGR=DPKG
如果您使用的不是 Debian 或 Ubuntu,请更改DPKG为您实际的包管理器。
这样,rkhunter就会知道这些可执行文件是脚本,而不是标记误报。
它将确保如果文件被篡改,则会显示新的阳性结果。
答案2
正如上面提到的:https://metacpan.org/pod/lwp-request,lwp-request 是一个允许向 Web 服务器发出 http 请求的脚本。它不是恶意的,因此可以忽略该错误。
要抑制该错误,您需要允许将 /usr/bin/lwp-request 命令用作脚本。这可以通过添加以下行来完成:
SCRIPTWHITELIST=/usr/bin/lwp-request
到/etc/rkhunter.conf或者/etc/rkhunter.conf.local文件。请参阅脚本白名单选项中的rkhunter.conf 配置文件
该解决方案在Linux Mint 论坛