chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/

Le
Julien Valroff
Bonjour la liste !

Depuis que j'ai plac des donnes dans /usr/lib/cgi-bin, je reois ch=
aque
matin une "alerte" de chkrootkit pour tous les fichiers cachs de ce
rpertoires et de ces sous-rpertoires (les .htaccess notamment). chkro=
otkit
est lanc par cron.

Aucune autre information. Juste le listing de ces fichiers (et leur chemin=

absolu). Si je place le rpertoire cgi-bin ailleurs dans l'arborescence e=
t
que je fais un lien symbolique dans /usr/lib/, je n'ai plus ce message.


Lanc la main, j'ai ce mme listing aprs "Searching for suspicio=
us files
and dirs, it may take a while" (si je comprends le passage autour de la=

ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne doit pas suivre l=
es
liens)
J'aimerais pouvoir ignorer ces fichiers un un, mais dans la [1]FAQ, voi=
l ce
que je trouve :
# chkrootkit signale certains fichiers et rpertoires comme tant susp=
ects :
`.packlist', `.cvsignore', etc. Ce sont clairement des faux messages
d'alerte. Ne pouvez vous pas les ignorer ?

Ignorer des fichiers et des rpertoire affaiblirait l'efficacit de
chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
rpertoires sont ignors.

J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin me=

fera sans doute l'ignorer terme, et lorsque cela en sera une vraie.

Merci par avance pour vos conseils !

@+
Julien

[1] http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Michel Petit
Le #9321131
Julien Valroff a écrit :
Bonjour la liste !



Bonjour,


Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçois chaque
matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce
répertoires et de ces sous-répertoires (les .htaccess notamment). chkrootkit
est lancé par cron.

Aucune autre information. Juste le listing de ces fichiers (et leur chemin
absolu). Si je place le répertoire cgi-bin ailleurs dans l'arborescence et
que je fais un lien symbolique dans /usr/lib/, je n'ai plus ce message.


Lancé à la main, j'ai ce même listing après "Searching for suspicious files
and dirs, it may take a while..." (si je comprends le passage autour de la
ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne doit pas suivre les
liens)
J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ, voilà ce
que je trouve :
# chkrootkit signale certains fichiers et répertoires comme étant suspects :
`.packlist', `.cvsignore', etc. Ce sont clairement des faux messages
d'alerte. Ne pouvez vous pas les ignorer ?

Ignorer des fichiers et des répertoire affaiblirait l'efficacité de
chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
répertoires sont ignorés.

J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin me
fera sans doute l'ignorer à terme, et lorsque cela en sera une vraie....



La solution que j'ai retenue pour ça, est d'avoir un fichier de "référence".
Je m'explique : je lance chkrootkit en redirigeant ses sorties dans ce
fichier, ensuite je vérifie, s'il y a des alertes, que ce ne sont pas
des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
génère une alarme que si la sortie est différente de la "référence".
S'il y a lieu, je met à jour mon fichier de référence.


Merci par avance pour vos conseils !




Pas de quoi.

@+
Julien



--
Michel


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Julien Valroff
Le #9321111
Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit :
Julien Valroff a écrit :
> Bonjour la liste !

Bonjour,

> Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçoi s chaque
> matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce
> répertoires et de ces sous-répertoires (les .htaccess notamment).
> chkrootkit est lancé par cron.
>
> Aucune autre information. Juste le listing de ces fichiers (et leur
> chemin absolu). Si je place le répertoire cgi-bin ailleurs dans
> l'arborescence et que je fais un lien symbolique dans /usr/lib/, je n'ai
> plus ce message.
>
>
> Lancé à la main, j'ai ce même listing après "Searching for susp icious
> files and dirs, it may take a while..." (si je comprends le passage
> autour de la ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne
> doit pas suivre les liens)
> J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ,
> voilà ce que je trouve :
> # chkrootkit signale certains fichiers et répertoires comme étant
> suspects : `.packlist', `.cvsignore', etc. Ce sont clairement des faux
> messages d'alerte. Ne pouvez vous pas les ignorer ?
>
> Ignorer des fichiers et des répertoire affaiblirait l'efficacité de
> chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
> répertoires sont ignorés.
>
> J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin
> me fera sans doute l'ignorer à terme, et lorsque cela en sera une
> vraie....

La solution que j'ai retenue pour ça, est d'avoir un fichier de
"référence". Je m'explique : je lance chkrootkit en redirigeant ses s orties
dans ce fichier, ensuite je vérifie, s'il y a des alertes, que ce ne so nt
pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
génère une alarme que si la sortie est différente de la "référe nce". S'il y
a lieu, je met à jour mon fichier de référence.



Merci !

Intéressant en effet, ça me semble une solution plus que satisfaisante !
Concrètement, comment vérifie tu cette référence ? En passant par u n fichier
temporaire à chaque lancement de chkrootkit, puis en faisant un hash md5 et
en comparant les sommes des 2 fichiers ?

Merci de m'en dire un peu plus, je ne suis pas un as de ce genre
d'acrobaties ;-)

@++
Julien
manioul
Le #9320411
--=-L4n7fV+37dn6VX2IcmfQ
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le samedi 15 janvier 2005 à 09:56 +0100, Julien Valroff a écrit :
Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit :
> Julien Valroff a écrit :
> > Bonjour la liste !


Coucou!!!
[...]



> La solution que j'ai retenue pour ça, est d'avoir un fichier de
> "référence". Je m'explique : je lance chkrootkit en redirigeant ses sorties
> dans ce fichier, ensuite je vérifie, s'il y a des alertes, que ce ne sont
> pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
> génère une alarme que si la sortie est différente de la "réfé rence". S'il y
> a lieu, je met à jour mon fichier de référence.

Merci !

Intéressant en effet, ça me semble une solution plus que satisfaisant e !
Concrètement, comment vérifie tu cette référence ? En passant par un fichier
temporaire à chaque lancement de chkrootkit, puis en faisant un hash md 5 et
en comparant les sommes des 2 fichiers ?


Un peu compliqué ça! Je ne sais pas comment a fait Michel, mais
j'imagine qu'il se contente d'un 'diff' sur les deux fichiers...

Merci de m'en dire un peu plus, je ne suis pas un as de ce genre
d'acrobaties ;-)

@++
Julien


++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/


--=-L4n7fV+37dn6VX2IcmfQ
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB6ZygcsdrgK9aigMRAib2AJ9T2hc46fbd90+CwU9xDaPVSuQqsACghZH7
ro0AtsGT+YL2fN4KCUrQY5M =+dyi
-----END PGP SIGNATURE-----

--=-L4n7fV+37dn6VX2IcmfQ--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Julien Valroff
Le #9320251
Le Samedi 15 Janvier 2005 12:31, Michel Petit a écrit :
Julien Valroff a écrit :
> Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit :
>>Julien Valroff a écrit :
>>>Bonjour la liste !
>>
>>Bonjour,

...

>>La solution que j'ai retenue pour ça, est d'avoir un fichier de
>>"référence". Je m'explique : je lance chkrootkit en redirigeant ses
>> sorties dans ce fichier, ensuite je vérifie, s'il y a des alertes, q ue
>> ce ne sont pas des vraies, puis finalement dans ma cron, je lance le
>> chkrootkit et ne génère une alarme que si la sortie est différen te de la
>> "référence". S'il y a lieu, je met à jour mon fichier de réf érence.
>
> Merci !
>
> Intéressant en effet, ça me semble une solution plus que satisfaisa nte !
> Concrètement, comment vérifie tu cette référence ? En passant p ar un
> fichier temporaire à chaque lancement de chkrootkit, puis en faisant un
> hash md5 et en comparant les sommes des 2 fichiers ?

Tu trouveras ci-joint le script et le fichier de référence.
Le fichier de référence est généré par un 'chkrootkit -q' lanc é à la main.
Le script tourne en cron (toutes les heures).
S'il génère une sortie je recois un mail (via cron), mais le script
pourrait envoyer lui-même le mail (mais j'ai la flemme ;) ).

> Merci de m'en dire un peu plus, je ne suis pas un as de ce genre
> d'acrobaties ;-)

Comme tu le vois peu d'acrobatie (enfin à mon goût).
@+.



Moins que je n'aurais pensé en effet ! J'avais oublié l'existence de ce
sympathique outil qu'est diff :o)
Pourquoi faire simple quand... ?!?

Je vais mettre cela en place. Merci encore pour ton aide.

Bon dimanche
Julien
Vincent Lefevre
Le #9320171
On 2005-01-15 23:43:44 +0100, manioul wrote:
Un peu compliqué ça! Je ne sais pas comment a fait Michel, mais
j'imagine qu'il se contente d'un 'diff' sur les deux fichiers...



chkrootkit ne pourrait pas avoir cette fonctionnalité en standard?

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Julien Valroff
Le #9320151
Le Dimanche 16 Janvier 2005 11:17, Vincent Lefevre a écrit :
On 2005-01-15 23:43:44 +0100, manioul wrote:
> Un peu compliqué ça! Je ne sais pas comment a fait Michel, mais
> j'imagine qu'il se contente d'un 'diff' sur les deux fichiers...

chkrootkit ne pourrait pas avoir cette fonctionnalité en standard?



Voir la FAQ... Les auteurs semblent avoir une opinion ferme à ce sujet !!

@+
Julien
Vincent Lefevre
Le #9319941
On 2005-01-16 12:17:14 +0100, Julien Valroff wrote:
Le Dimanche 16 Janvier 2005 11:17, Vincent Lefevre a écrit :
> On 2005-01-15 23:43:44 +0100, manioul wrote:
> > Un peu compliqué ça! Je ne sais pas comment a fait Michel, mais
> > j'imagine qu'il se contente d'un 'diff' sur les deux fichiers...
>
> chkrootkit ne pourrait pas avoir cette fonctionnalité en standard?

Voir la FAQ... Les auteurs semblent avoir une opinion ferme à ce sujet !!



La question de la FAQ est différente: elle demande d'ignorer un
certain nombre de fichiers. Ce que je suggère est de prendre en
compte de manière spéciale un certain nombre de fichiers (au lieu
d'un diff, une vérification par md5 peut suffire).

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
manioul
Le #9319871
--=-2xTSnk0SR7B187MccEoA
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le dimanche 16 janvier 2005 à 21:50 +0100, Vincent Lefevre a écrit :
On 2005-01-16 12:17:14 +0100, Julien Valroff wrote:
> Le Dimanche 16 Janvier 2005 11:17, Vincent Lefevre a écrit :
> > On 2005-01-15 23:43:44 +0100, manioul wrote:
> > > Un peu compliqué ça! Je ne sais pas comment a fait Michel, mais
> > > j'imagine qu'il se contente d'un 'diff' sur les deux fichiers...
> >
> > chkrootkit ne pourrait pas avoir cette fonctionnalité en standard?
>
> Voir la FAQ... Les auteurs semblent avoir une opinion ferme à ce suje t !!

La question de la FAQ est différente: elle demande d'ignorer un
certain nombre de fichiers. Ce que je suggère est de prendre en
compte de manière spéciale un certain nombre de fichiers (au lieu
d'un diff, une vérification par md5 peut suffire).


md5 est plus lent et moins précis... Quel intéret?

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / SPACES project at LORIA




--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/


--=-2xTSnk0SR7B187MccEoA
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBB6vDKcsdrgK9aigMRAnaCAKC6nLfgJOkTnngluiW+fBpwW27pSACghgE+
Ujr72Iar3Ck+eFrJDzXGtvA =Vw9/
-----END PGP SIGNATURE-----

--=-2xTSnk0SR7B187MccEoA--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
Le #9319811
On 2005-01-16 23:55:06 +0100, manioul wrote:
Le dimanche 16 janvier 2005 à 21:50 +0100, Vincent Lefevre a écrit :
> La question de la FAQ est différente: elle demande d'ignorer un
> certain nombre de fichiers. Ce que je suggère est de prendre en
> compte de manière spéciale un certain nombre de fichiers (au lieu
> d'un diff, une vérification par md5 peut suffire).
md5 est plus lent et moins précis... Quel intéret?



Il prend moins de place.

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme