---
date: 2017-07-24T20:42:46+02:00
description: "Comment résoudre l'avis de détection par rkhunter : Warning: /usr/bin/unhide.rb"
draft: false
tags: ['rkhunter','detection','unhide.rb']
title: "Rkhunter : Warning: /usr/bin/unhide.rb"
---

## Description

**rkhunter** peut parfois poser problème avec ce message d'alerte suivant : <br>
<q>Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text</q>

## Analyse

⇒ La première chose à s'assurer que le binaire en question n'a pas été trafiqué, 
pour cela, utilisons le binaire **debsums**, tel que : <br>
*Bien-sûr, si vous ne l'avez pas installé, faites-le… mais c'est dommage.*

`# debsums unhide.rb` <br>
`/usr/bin/unhide.rb                                                            OK` <br>
`/usr/share/doc/unhide.rb/changelog.Debian.gz                                  OK` <br>
`/usr/share/doc/unhide.rb/copyright                                            OK` <br>
`/usr/share/lintian/overrides/unhide.rb                                        OK` <br>
`/usr/share/man/man8/unhide.rb.8.gz                                            OK` <br>

⇒ Maintenant, par acquis de conscience, faites ceci :

`$ cp /usr/bin/unhide.rb $HOME` <br>
`# apt purge unhide.rb` <br>
`# apt install unhide.rb` <br>
`$ diff /usr/sbin/unhide.rb ~/unhide.rb` <br>

Si **diff** ne retourne aucune information, c'est que les deux fichiers 
en question sont identiques ! <br>
*(à moins d'avoir eu la malchance d'avoir eu le binaire **diff** lui même modifié…)*

Si tout semble 'OK', c'est que l'on a faire face au fameux faux positif 
de rkhunter concernant ce binaire ! <br>
*ce qui devrait être le cas dans une installation fraîchement exécutée !*

⇒ Contrôlons les sommes de contrôle différemment :

`$ md5sum /usr/bin/unhide.rb` <br>
`b1642389370e283c580de371b61ec3cb  /usr/bin/unhide.rb` <br>
`$ grep "usr/bin/unhide.rb" /var/lib/dpkg/info/unhide.rb.md5sums` <br>
`b1642389370e283c580de371b61ec3cb  usr/bin/unhide.rb` <br>

---

⇒ L'autre manière est de :

* télécharger le binaire **unhide.rb**, depuis le dépôt officiel, 
* le décompresser et 
* comparer les sommes avec `sha256sum`, voire `sha512sum` ! - **c'est même préférable** 

Si les sommes sont identiques, c'est tout bon !

Pensez à supprimer le fichier `~/unhide.rb` que vous avez créé lors de la 
copie, précédemment !

## Configuration

Puisque tout semble bon, modifions le fichier `/etc/rkhunter.conf`, pour
 modifier cette variable : `PKGMGR=DPKG`
 
Recharger la base de donnée de rkhunter, avec l'option `--propupd`, et 
lancez à nouveau le test.

Normalement, l'utilitaire `unhide.rb` devrait correctement être pris en charge…

Si jamais, ce n'était pas le cas :
* vous pouvez décommenter la ligne suivante du fichier rkhunter.conf : <br>
`#SCRIPTWHITELIST=/usr/bin/unhide.rb` - mais gardez à l'esprit que **ce n'est pas préférable/recommandable**.

Si malgré tout, cela n'est pas bon, envisager sérieusement une réinstallation 
de votre Linux !!!

---