rapport rkhunter

Le
a.lb
Bonjour,
Le rapport de rkhunter me dit ceci:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible=

rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootk=
it:
Xzibit Rootkit
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

Premièrement dois-je m'en inquiéter.

Deuxièmement ,si non comment supprimer ces alertes du rapport car la comm=
ande
rkhunter --propupd ni fait rien.
Merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201101031059.15064.a.le-bigot@orange.fr
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
steve
Le #22982171
Le 03-01-2011, à 10:59:14 +0100, a.lb () a écrit :

Bonjour,



Salut,

Le rapport de rkhunter me dit ceci:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
Xzibit Rootkit
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

Premièrement dois-je m'en inquiéter.



Peut-être, mais peut-être pas, c'est difficile à dire ainsi. (Mais je ne
crois pas).

Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande
rkhunter --propupd ni fait rien.



Ajouter dans /etc/rkhunter.conf la ligne :

RTKT_FILE_WHITELIST="/etc/init.d/hdparm /etc/init.d/.depend.boot"

(et lire les commentaires de ce fichier...)

Merci



Pas de quoi.

Bonne année !

s.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
tv.debian
Le #22982241
Le 03/01/2011 10:59, a.lb a écrit :
Bonjour,
Le rapport de rkhunter me dit ceci:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
Xzibit Rootkit
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

Premièrement dois-je m'en inquiéter.

Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande
rkhunter --propupd ni fait rien.
Merci




Salut,

c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il
soit toujours présent dans Debian ?

https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/556455

En gros rkhunter cherche des expressions qui sont les "signatures" de
rootkit "xzibit" dans les lignes de commentaires des fichiers sous
/etc/init.d, le patch d'Ubuntu corrige ce comportement.

Si un bug n'est pas ouvert pour la version Debian ça serait une bonne
idée de le faire, c'est une meilleur solution que de mettre en liste
blanche les fichiers visés, au cas où un jour ils soient vraiment la
cible de "xzibit" ou autre joyeuseté...

rkhunter provoque pas mal de faux positif, on peut éviter les crises
cardiaques systématiques en googlant un peu les messages d'alerte en
général.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jeremie COURREGES-ANGLAS
Le #22983061
--PNTmBPCT7hxwcZjr
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Monday 03 January 2011 à 12:10:33PM, wrote:
Si un bug n'est pas ouvert pour la version Debian ça serait une bonne
idée de le faire, c'est une meilleur solution que de mettre en liste
blanche les fichiers visés, au cas où un jour ils soient vraime nt la
cible de "xzibit" ou autre joyeuseté...



Une autre solution serait d'arrêter d'utiliser ce genre d'outils qui
n'apporte rien au niveau sécurité.

rkhunter provoque pas mal de faux positif, on peut éviter les crises
cardiaques systématiques en googlant un peu les messages d'alerte en
général.



D'après des gens dotés de plus d'expérience que moi dans ce domaine,
c'est même la seule chose que ce genre d'outils est capable de dé tecter
(les faux positifs).

Ce mail est se tranforme donc en appel à témoin : chkrootkit / rk hunter
ont ils déjà donné des résultats chez vous ?
(à part des faux positifs, donc)

--
"Free software, free society."
Jérémie Courrèges-Anglas
GPG key : 06A11494

--PNTmBPCT7hxwcZjr
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (OpenBSD)
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=cPq2
-----END PGP SIGNATURE-----

--PNTmBPCT7hxwcZjr--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Julien Valroff
Le #22983541
Salut,

Le lundi 03 janv. 2011 à 12:10:33 (+0100), a écrit :
Le 03/01/2011 10:59, a.lb a écrit :
> Bonjour,
> Le rapport de rkhunter me dit ceci:
> Warning: Checking for possible rootkit strings [ Warning ]
> Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
> rootkit: Xzibit Rootkit
> Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
> Xzibit Rootkit



Voir ci-dessous

> Warning: Hidden directory found: /dev/.udev
> Warning: Hidden directory found: /dev/.initramfs



C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des
répertoires cachés à un endroit peu commun.
Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés.
Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à
rkhunter d'ignorer ces répertoires.

c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il
soit toujours présent dans Debian ?



Ce "bogue" est toujours présent dans la dernière version amont (1.3.8 dans
experimental).

Voir :
http://sourceforge.net/tracker/?funcÞtail&aid)51178&group_id5034&atidy4187

Il est très difficile de résoudre proprement le problème. Dans le rapport
original, il est proposé de pouvoir spécifier le nombre d'occurences de la
chaine autorisées dans chaque fichier. La solution n'est pas encore
implémentée et est de toute façon un simple contournement.

La solution pour contourner les avertissements, tout en garantissant la
meilleure détection possible est :
1. Exclure la détection de la chaîne "hdparm" du script d'initialisation
2. Ajouter le script au test d'intégrité
3. Dans le cas de ce problème, il faut également autoriser
/etc/init.d/hdparm à être un script

Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local):
RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm"
USER_FILEPROP_FILES_DIRS="/etc/init.d/.depend.boot /etc/init.d/hdparm"
SCRIPTWHITELIST="/etc/init.d/hdparm"

@+
Julien

--
,''`. Julien Valroff ~ : :' : Debian Developer & Free software contributor
`. `' http://www.kirya.net/
`- 4096R/ E1D8 5796 8214 4687 E416 948C 859F EF67 258E 26B1

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme