Soru rkhunter: “Şüpheli Paylaşılan Bellek Segmentleri”


Burada CentOS7 yüklü bir sunucu ve üzerinde GroupOffice kurulumu var. Rkhunter'ı kurduktan ve bir rkhunter kontrolünü başlattıktan sonra şunu elde ederim:

[09:58:15] Suspicious Shared Memory segments
[09:58:15]   Process:     PID: 1769    Owner: apache         [ Found ]
[09:58:15]   Suspicious Shared Memory segments               [ Warning ]

"Şüpheli Paylaşılan Bellek bölümleri" nin ne anlama geldiğini bilen var mı? Bunun sahte bir pozitif olup olmadığını nasıl kontrol edebilirim? Ve eğer öyleyse: Bu hatayı nasıl beyaz listeleyebilirim?

DÜZENLE

İşlemi ps komutu ile listelemeye çalışırsam PID 1769 ile işlem şu şekilde olmaz:

# ps -p 1769
  PID TTY          TIME CMD
# ps aux | grep 1769
root     12777  0.0  0.0 112660   960 pts/0    S+   10:25   0:00 grep --color=auto 1769
# ps aux | grep apache
apache   12606  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12607  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12608  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12609  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
apache   12610  0.0  0.5 537092 10224 ?        S    10:15   0:00 /usr/sbin/httpd -DFOREGROUND
root     12779  0.0  0.0 112660   960 pts/0    S+   10:26   0:00 grep --color=auto apache

5
2018-06-10 08:07


Menşei




Cevaplar:


İtibaren v 1.4.4 için changelog:

ALLOWIPCPROC yapılandırma dosyası seçeneği eklendi. Bu olabilir      paylaşılan belleği kullanarak şüpheli süreçleri beyaz listeye almak için kullanılır      segmentler ('ipc_shared_mem' kontrolünde bulunur).

Yani beyaz listeye aşağıdakileri kullanın

ALLOWIPCPROC=path/to/service

Örneğin.

ALLOWIPCPROC=/usr/sbin/httpd

8
2017-07-18 12:14





Httpd durduktan sonra uyarı (beklenen gibi) gitti. Httpd başlatıldıktan sonra uyarı tekrar (aynı PID ile!) Var. Bunu birkaç kez denedim (her durumda aynı sonuçla).

Fakat: Sunucuyu yeniden başlattıktan sonra uyarı gitti. Sunucumla oynuyorum (GroupOffice'e giriş yapın, httpd'yi yeniden başlatın vb.) Ve uyarı ısrarla devam ediyor (umarım). Ancak, bu şeyi önümüzdeki günlerde gözlemleyeceğim ...

"Şüpheli Paylaşılan Bellek bölümleri" uyarısının ne anlama geldiğini ve bunun yanlış bir pozitif olup olmadığını nasıl anlayabileceğimi bilmiyorum. Bu yüzden ben de bu soru / cevabı "cevaplandı" olarak işaretlemeyeceğim.

Teşekkürler ve saygılar, Steffen


0
2018-06-10 09:14





Paylaşılan Bellek Segmentleri kavramı şu şekilde açıklanmaktadır: http://www.csl.mtu.edu/cs4411.ck/www/NOTES/process/shm/what-is-shm.html. Adından da anlaşılacağı gibi, Paylaşılan Bellek Segmenti, birden çok işlem tarafından paylaşılabilen bir bellek segmentidir. Dosya olan Apache web sunucusu işlemi: / Usr / sbin / httpd paylaşılan hafızayı kullanır.

Paylaşılan belleğe erişme, bir işlemin başka bir işlem tarafından kullanılan belleği okumasına ve potansiyel olarak değiştirmesine izin vermesi nedeniyle güvenlik riski oluşturur. Paylaşılan belleğe erişmek için yalnızca güvenilir işlemlere izin verilmelidir. Rkhunter güvenlik taraması, güvenilir süreci dikkate aldığından biraz katı / Usr / sbin / httpd şüpheli olarak.

Bu uyarı Plesk forumunda önerildiği gibi güvenli bir şekilde göz ardı edilebilir: https://support.plesk.com/hc/en-us/articles/115001160954-What-Watchdog-warnings-can-be-safely-ignored-on-a-Plesk-server.

Uyarıyı yok saymak için, Paylaşılan Bellek Segmentine erişen işlemin yolu eklenmelidir. ALLOWIPCPROC rkhunter.conf yapılandırma dosyasında seçenek. Bu durumda işlemin yolu: / Usr / sbin / httpd.

Rkhunter.conf dosyası aşağıdaki belgeleri içerir ALLOWIPCPROC seçeneği:

Belirtilen işlem yolu adlarının paylaşılan bellek bölümlerini kullanmasına izin ver.   Bu seçenek bir kereden fazla belirtilebilir ve joker karakteri kullanabilir   karakter. Varsayılan değer boş dizedir.


0
2017-10-26 04:26