Faux positifs avec chkrootkit

Le
MAI
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.

Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .

Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
yves
Le #24056741
Le 11/12/2011 12:35, MAI a écrit :
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"



J'ai scanné avec la même version 0.49 et init est non infecté chez moi.


avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.

Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .

Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT
Tonton Th
Le #24056731
On 12/11/2011 12:38 PM, yves wrote:
Le 11/12/2011 12:35, MAI a écrit :
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"



J'ai scanné avec la même version 0.49 et init est non infecté chez moi.



Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.

--

Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/
yves
Le #24056781
Le 11/12/2011 12:45, Tonton Th a écrit :
On 12/11/2011 12:38 PM, yves wrote:
Le 11/12/2011 12:35, MAI a écrit :
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"



J'ai scanné avec la même version 0.49 et init est non infecté chez moi.



Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.




De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit
Vivien MOREAU
Le #24057021
yves
Le 11/12/2011 12:45, Tonton Th a écrit :
On 12/11/2011 12:38 PM, yves wrote:
[...]
J'ai scanné avec la même version 0.49 et init est non infecté chez moi.



Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.




De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit



Si Tonton Th te demande ça, c'est justement pour vérifier si tu as le
même /sbin/init que l'OP et donc pour savoir si c'est pertinent. :-)

--
Asynchroniquement,
Vivien
jacques
Le #24059401
Le Sun, 11 Dec 2011 12:45:37 +0100, Tonton Th a écrit :

Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.




3ddeab602ef255f8453834a161addd19 /sbin/init

Pas de Suckit chez moi.


J.


Non-mais...
Leger
Le #24061761
MAI wrote:

"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack



Bonjour,

J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.

--
@+
Leger
Arnaud Gomes-do-Vale
Le #24062611
Leger
J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.



Sauf si les (ou certains) serveurs de distribution de Mandriva se sont
faits trouer.

--
Arnaud
http://blogs.glou.org/arnaud/
Publicité
Poster une réponse
Anonyme