Hallo, ich habe rkhunter installiert, da ich einige dubiose Mails bekommen hatte. Dabei bekomme ich derzeit ein dutzend Warnungen bei "Checking system commands..." aber keine bei "Checking for rootkits...". Daraufhin habe ich das System neu installiert, und auch direkt nach der Installation gecheckt, keine Warning. Dann hab ich ein apt update && apt upgrade ausgeführt, und danach waren die gleichen Warnungen wieder da. Sonst hatte ich nichts gemacht.
Dann habe ich es mit einem zweiten Rechner vergleichen, dort die gleichen Kommandos ausgeführt. Und dort ist alles grün. Gleiche Linuxversion, gleiche rkhunter Version.
Also hab ich ein cksum gemacht auf die rot markierten Dateien. Genau die gleiche Checksumme, gleiche Dateigrösse. Auf dem einen Rechner rot, auf dem anderen grün. Beispiele für die Dateien mit Warnings:
/usr/sbin/groupadd
/usr/sbin/groupdel
/usr/sbin/groupmod
/usr/bin/w
usw.
Bin vorgegangen wie im Thread https://forum.ubuntuusers.de/topic/umgang-mit-warnungen-unter-rkhunter/ beschrieben:
1 2 | rkhunter --check --pkgmgr dpkg rkhunter --propupd |
Es ist wohl möglich, dass ein Rootkit im UEFI ist, und sich von dort wieder einklinkt. Wie kann ich jetzt heraus finden, ob dort ein Rootkit ist, oder ob es sich vielleicht nur um ein false positive handelt ?
