---
date: 2017-07-24T20:42:46+02:00
description: "Comment résoudre l'avis de détection par rkhunter : Warning: /usr/bin/unhide.rb"
draft: false
tags: ['rkhunter','detection','unhide.rb']
title: "Rkhunter : Warning: /usr/bin/unhide.rb"
---
## Description
**rkhunter** peut parfois poser problème avec ce message d'alerte suivant :
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
## Analyse
⇒ La première chose à s'assurer que le binaire en question n'a pas été trafiqué,
pour cela, utilisons le binaire **debsums**, tel que :
*Bien-sûr, si vous ne l'avez pas installé, faites-le… mais c'est dommage.*
`# debsums unhide.rb`
`/usr/bin/unhide.rb OK`
`/usr/share/doc/unhide.rb/changelog.Debian.gz OK`
`/usr/share/doc/unhide.rb/copyright OK`
`/usr/share/lintian/overrides/unhide.rb OK`
`/usr/share/man/man8/unhide.rb.8.gz OK`
⇒ Maintenant, par acquis de conscience, faites ceci :
`$ cp /usr/bin/unhide.rb $HOME`
`# apt purge unhide.rb`
`# apt install unhide.rb`
`$ diff /usr/sbin/unhide.rb ~/unhide.rb`
Si **diff** ne retourne aucune information, c'est que les deux fichiers
en question sont identiques !
*(à moins d'avoir eu la malchance d'avoir eu le binaire **diff** lui même modifié…)*
Si tout semble 'OK', c'est que l'on a faire face au fameux faux positif
de rkhunter concernant ce binaire !
*ce qui devrait être le cas dans une installation fraîchement exécutée !*
⇒ Contrôlons les sommes de contrôle différemment :
`$ md5sum /usr/bin/unhide.rb`
`b1642389370e283c580de371b61ec3cb /usr/bin/unhide.rb`
`$ grep "usr/bin/unhide.rb" /var/lib/dpkg/info/unhide.rb.md5sums`
`b1642389370e283c580de371b61ec3cb usr/bin/unhide.rb`
---
⇒ L'autre manière est de :
* télécharger le binaire **unhide.rb**, depuis le dépôt officiel,
* le décompresser et
* comparer les sommes avec `sha256sum`, voire `sha512sum` ! - **c'est même préférable**
Si les sommes sont identiques, c'est tout bon !
Pensez à supprimer le fichier `~/unhide.rb` que vous avez créé lors de la
copie, précédemment !
## Configuration
Puisque tout semble bon, modifions le fichier `/etc/rkhunter.conf`, pour
modifier cette variable : `PKGMGR=DPKG`
Recharger la base de donnée de rkhunter, avec l'option `--propupd`, et
lancez à nouveau le test.
Normalement, l'utilitaire `unhide.rb` devrait correctement être pris en charge…
Si jamais, ce n'était pas le cas :
* vous pouvez décommenter la ligne suivante du fichier rkhunter.conf :
`#SCRIPTWHITELIST=/usr/bin/unhide.rb` - mais gardez à l'esprit que **ce n'est pas préférable/recommandable**.
Si malgré tout, cela n'est pas bon, envisager sérieusement une réinstallation
de votre Linux !!!
---