rkhunter Warnungen

Message

deranonyme · Post by **deranonyme** » Sun Feb 01, 2026 3:47 pm

Ich brauche mal eure Hilfe. Nachdem ich aktuell nicht in der Lage bin einen Account bei Kleinanzeigen anzulegen, ohne das der gleich wieder gesperrt wird und zwar binnen Sekunden, egal welche E-Mail ich verwende, habe ich mal rkhunter auf mein Sytem losgelassen und folgende Meldungen bekommen:

Code: Select all

/usr/bin/lwp-request                             [ Warning ]
/usr/bin/ldd                                          [ Warning ]
/usr/bin/fgrep                                       [ Warning ]
/usr/bin/egrep                                      [ Warning ]
Li0n Worm                                            [ Warning ]
Checking for passwd file changes            [ Warning ]
Checking for group file changes              [ Warning ]
Checking if SSH root access is allowed     [ Warning ]
Checking if SSH protocol v1 is allowed     [ Warning ]
Checking for hidden files and directories   [ Warning ]

Die Pakete dev-perl/libwww-perl, sys-apps/grep und sys-libs/glibc habe ich mit qcheck geprüft. Alle Dateien als ok erklärt. Mit dem Hinweis auf
Li0n Worm komme ich nicht weiter. Desgleichen weiß ich nicht wie ich die anderen Hinweise verifizieren kann.

schmidicom · Post by **schmidicom** » Mon Feb 02, 2026 7:50 am

Ich habe das Tool jetzt bei mir auch mal ausprobiert und die Warnung wegen dem "Li0n Worm" kam bei mir von "net-misc/netkit-telnetd" und ist ziemlich sicher ein False positive.
Was die passwd, group Dateien angeht dazu kann ich nicht wirklich etwas sagen nur das diese Meldung bei mir nicht kommt und die Warnungen bezüglich SSH sind vermutlich auch veraltet.

deranonyme · Post by **deranonyme** » Mon Feb 02, 2026 9:05 am

Vielen Dank für deine Hilfe. Kannst du vielleicht mal erklären wie du Li0n Worm netkit-telnet zugeordnet hast? Das kann ich leider nicht nachvollziehen.

schmidicom · Post by **schmidicom** » Mon Feb 02, 2026 9:11 am

deranonyme wrote:Vielen Dank für deine Hilfe. Kannst du vielleicht mal erklären wie du Li0n Worm netkit-telnet zugeordnet hast? Das kann ich leider nicht nachvollziehen.

Das Programm erstellt ein Log unter "/var/log/rkhunter.log" und da stand drin um welche Datei es ging.

Code: Select all

[08:08:40] Warning: Li0n Worm                                [ Warning ]
[08:08:40]          File '/bin/in.telnetd' found

deranonyme · Post by **deranonyme** » Mon Feb 02, 2026 9:12 am

Danke, das Log habe ich tatsächlich vernachlässigt.

deranonyme · Post by **deranonyme** » Mon Feb 02, 2026 4:05 pm

Ich hab jetz mal geschaut,

Code: Select all

$ equery files net-misc/telnet-bsd
 * Searching for telnet-bsd in net-misc ...
 * Contents of net-misc/telnet-bsd-1.2-r5:
/usr
/usr/bin
/usr/bin/telnet
/usr/sbin
/usr/sbin/in.telnetd
/usr/share
/usr/share/doc
/usr/share/doc/telnet-bsd-1.2-r5
/usr/share/doc/telnet-bsd-1.2-r5/AUTHORS
/usr/share/doc/telnet-bsd-1.2-r5/ChangeLog.bz2
/usr/share/doc/telnet-bsd-1.2-r5/NEWS.bz2
/usr/share/doc/telnet-bsd-1.2-r5/README.bz2
/usr/share/doc/telnet-bsd-1.2-r5/THANKS.bz2
/usr/share/man
/usr/share/man/man1
/usr/share/man/man1/telnet.1.bz2
/usr/share/man/man5
/usr/share/man/man5/issue.net.5.bz2
/usr/share/man/man8
/usr/share/man/man8/in.telnetd.8.bz2

net-misc/telnet-bsd legt in.telnetd in /usr/sbin/ ab. Warum ist es dann auch in /bin enthalten? Wurde da was unsauber deinstalliert, oder hab ich was falsch verstanden was die Installation angeht?

schmidicom · Post by **schmidicom** » Tue Feb 03, 2026 7:07 am

deranonyme wrote:Ich hab jetz mal geschaut,

Code: Select all

$ equery files net-misc/telnet-bsd
 * Searching for telnet-bsd in net-misc ...
 * Contents of net-misc/telnet-bsd-1.2-r5:
/usr
/usr/bin
/usr/bin/telnet
/usr/sbin
/usr/sbin/in.telnetd
/usr/share
/usr/share/doc
/usr/share/doc/telnet-bsd-1.2-r5
/usr/share/doc/telnet-bsd-1.2-r5/AUTHORS
/usr/share/doc/telnet-bsd-1.2-r5/ChangeLog.bz2
/usr/share/doc/telnet-bsd-1.2-r5/NEWS.bz2
/usr/share/doc/telnet-bsd-1.2-r5/README.bz2
/usr/share/doc/telnet-bsd-1.2-r5/THANKS.bz2
/usr/share/man
/usr/share/man/man1
/usr/share/man/man1/telnet.1.bz2
/usr/share/man/man5
/usr/share/man/man5/issue.net.5.bz2
/usr/share/man/man8
/usr/share/man/man8/in.telnetd.8.bz2

net-misc/telnet-bsd legt in.telnetd in /usr/sbin/ ab. Warum ist es dann auch in /bin enthalten? Wurde da was unsauber deinstalliert, oder hab ich was falsch verstanden was die Installation angeht?

Es gab vor längerer Zeit mal eine grössere Änderung bei Verzeichnissen wie zum Beispiel "/usr/sbin" wodurch viele davon nur noch symlinks sind.

Code: Select all

/bin -> usr/bin/
/sbin -> usr/bin/
/lib -> usr/lib/
/lib64 -> usr/lib64/
/usr/sbin -> bin/

Sinn des ganzen war es die Hierarchie zu vereinfachen und die Binarys/Libraries des Beistrebsystem vollständig unter "/usr" zur Verfügung zu stellen. Was von den meisten Distributionen auch bereits umgesetzt wurde.
https://systemd.io/THE_CASE_FOR_THE_USR_MERGE/

Aber noch sind nicht alle Pakete daran angepasst weshalb die Ausgabe von "equery f" unter Umständen auf den ersten Blick nicht die Realität widerspiegelt.

deranonyme · Post by **deranonyme** » Tue Feb 03, 2026 7:10 am

Danke