ulos.pl

Jak w tytule - zdarzają się. Jednym z popularniejszech jest wykrycie: Xzibit Rootkit, jeżeli mamy zainstalowany pakiet hdparm . Z moich doświadczeń wynika, że na pewno rkhunter będzie nas alarmował zainstalowany z oficjalnych repozytoriów Debiana 6, choć i na innych dystrybucjach Xzibit Rootkit potrafi się "przypałętać". Błąd na pewno nie występuje od wersji Rkhunter 1.4.0. Jest kilka rozwiązań, możemy to zignorować, odinstalować hdparm (głupie rozwiązanie) albo wykorzystać funkcjonalność rkhunter-a, mianowicie białe listy. W pliku konfiguracyjnym odnajdujemy RTKT_FILE_WHITELIST i po kolei podajemy ścieżki, o których Rkhunter fałszywie alarmował. Na przykład:

RTKT_FILE_WHITELIST="/etc/init.d/hdparm  /etc/init.d/.depend.boot"

Oczywiście musimy być pewni, dodając do białej listy.