chkrootkit: suspicious files and dirs -- perl5 et apache2 ?
2 réponses
ml-spam-delete
Bonjour,=0D=0A=0D=0Alors d'un chkrootkit, je trouve ceci (=E0 l'exception=
des 5/6=0D=0Aprocess LKM) dans les logs :=0D=0A=0D=0ASearching for suspi=
cious files and dirs, it may take a while... =0D=0A/usr/lib/perl5/Bundle/=
.arch-ids=0D=0A/usr/lib/perl5/Apache/.arch-ids=0D=0A/usr/lib/perl5/Apache=
2/.arch-ids=0D=0A/usr/lib/perl5/Apache2/Apache/.arch-ids=0D=0A/usr/lib/pe=
rl5/Apache2/Apache/PerlSections/.arch-ids=0D=0A/usr/lib/perl5/Apache2/Mod=
Perl/.arch-ids=0D=0A/usr/lib/perl5/Apache2/APR/.arch-ids=0D=0A/usr/lib/pe=
rl5/Apache2/Bundle/.arch-ids=0D=0A/usr/lib/perl5/.arch-ids /usr/lib/elect=
ric/.cadrc=0D=0A/usr/lib/perl5/Bundle/.arch-ids=0D=0A/usr/lib/perl5/Apach=
e/.arch-ids=0D=0A/usr/lib/perl5/Apache2/.arch-ids=0D=0A/usr/lib/perl5/Apa=
che2/Apache/.arch-ids=0D=0A/usr/lib/perl5/Apache2/Apache/PerlSections/.ar=
ch-ids=0D=0A/usr/lib/perl5/Apache2/ModPerl/.arch-ids=0D=0A/usr/lib/perl5/=
Apache2/APR/.arch-ids=0D=0A/usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/l=
ib/perl5/.arch-ids=0D=0A=0D=0Aauparavant (avant de partir en vacances) je=
n'avais pas=0D=0Acette partie de log (apache2 est ouvert constamment). d=
ois=0D=0Aje m'inqui=E9ter de cette indication ou est ce "normal" ? est=0D=
=0Ace juste une indication de fichiers ou de directory=0D=0Asensibles aux=
attaques? pourquoi cette indication soudaine?=0D=0AJ'ai ferm=E9 apache, =
pour le moment.=0D=0A=0D=0A--=0D=0Apatrice (+je suis en sarge-)=0A=0A****=
******************** ADSL ILLIMITE TISCALI + TELEPHONE GRATUIT **********=
************** =0ASurfez 40 fois plus vite pour 30EUR/mois seulement ! E=
t t=E9l=E9phonez partout en France gratuitement, =0Avers les postes fixe=
s (hors num=E9ros sp=E9ciaux). Tarifs tr=E8s avantageux vers les mobiles =
et l'international !=0APour profiter de cette offre exceptionnelle, cliqu=
ez ici : http://register.tiscali.fr/adsl (voir conditions sur le site)=0A=
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
raphael.berbain
"" writes:
Bonjour,
lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6 process LKM) dans les logs :
Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
auparavant (avant de partir en vacances) je n'avais pas cette partie de log (apache2 est ouvert constamment). dois je m'inquiéter de cette indication ou est ce "normal" ? est ce juste une indication de fichiers ou de directory sensibles aux attaques? pourquoi cette indication soudaine? J'ai fermé apache, pour le moment.
Les système de contrôle de version 'arch'[1] utilise des répertoires nommés '.arch-ids', un peu comme cvs qui met des répertoires 'CVS' un peu partout. Il se peut que soit upstream, soit le mainteneur du paquet se soit mis à utiliser arch/tla, et que par je ne sais trop quel bizarrerie ça se soit retrouvé packagé.
Après, pourquoi chkrootkit tique, pas la moindre idée. Il y a une FAQ similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il s'agisse clairement de faux positifs, chkrootkit ne peut pas simplement ignorer ces répertoires. Je pense que n'importe quel fichier/répertoire dont le nom commence par '.' sous /usr/bin ou /usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique par exemple que les '.svn' de subversion le font aussi réagir.
Footnotes: [1] http://regexps.srparish.net/www/ - très bien, soit dit en passant.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6
process LKM) dans les logs :
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/Bundle/.arch-ids
/usr/lib/perl5/Apache/.arch-ids
/usr/lib/perl5/Apache2/.arch-ids
/usr/lib/perl5/Apache2/Apache/.arch-ids
/usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
/usr/lib/perl5/Apache2/ModPerl/.arch-ids
/usr/lib/perl5/Apache2/APR/.arch-ids
/usr/lib/perl5/Apache2/Bundle/.arch-ids
/usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc
/usr/lib/perl5/Bundle/.arch-ids
/usr/lib/perl5/Apache/.arch-ids
/usr/lib/perl5/Apache2/.arch-ids
/usr/lib/perl5/Apache2/Apache/.arch-ids
/usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
/usr/lib/perl5/Apache2/ModPerl/.arch-ids
/usr/lib/perl5/Apache2/APR/.arch-ids
/usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
auparavant (avant de partir en vacances) je n'avais pas
cette partie de log (apache2 est ouvert constamment). dois
je m'inquiéter de cette indication ou est ce "normal" ? est
ce juste une indication de fichiers ou de directory
sensibles aux attaques? pourquoi cette indication soudaine?
J'ai fermé apache, pour le moment.
Les système de contrôle de version 'arch'[1] utilise des répertoires
nommés '.arch-ids', un peu comme cvs qui met des répertoires 'CVS' un
peu partout. Il se peut que soit upstream, soit le mainteneur du
paquet se soit mis à utiliser arch/tla, et que par je ne sais trop
quel bizarrerie ça se soit retrouvé packagé.
Après, pourquoi chkrootkit tique, pas la moindre idée. Il y a une FAQ
similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il
s'agisse clairement de faux positifs, chkrootkit ne peut pas
simplement ignorer ces répertoires. Je pense que n'importe quel
fichier/répertoire dont le nom commence par '.' sous /usr/bin ou
/usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique
par exemple que les '.svn' de subversion le font aussi réagir.
Footnotes:
[1] http://regexps.srparish.net/www/ - très bien, soit dit en passant.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6 process LKM) dans les logs :
Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
auparavant (avant de partir en vacances) je n'avais pas cette partie de log (apache2 est ouvert constamment). dois je m'inquiéter de cette indication ou est ce "normal" ? est ce juste une indication de fichiers ou de directory sensibles aux attaques? pourquoi cette indication soudaine? J'ai fermé apache, pour le moment.
Les système de contrôle de version 'arch'[1] utilise des répertoires nommés '.arch-ids', un peu comme cvs qui met des répertoires 'CVS' un peu partout. Il se peut que soit upstream, soit le mainteneur du paquet se soit mis à utiliser arch/tla, et que par je ne sais trop quel bizarrerie ça se soit retrouvé packagé.
Après, pourquoi chkrootkit tique, pas la moindre idée. Il y a une FAQ similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il s'agisse clairement de faux positifs, chkrootkit ne peut pas simplement ignorer ces répertoires. Je pense que n'importe quel fichier/répertoire dont le nom commence par '.' sous /usr/bin ou /usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique par exemple que les '.svn' de subversion le font aussi réagir.
Footnotes: [1] http://regexps.srparish.net/www/ - très bien, soit dit en passant.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Mezig
wrote:
Bonjour,
lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6 process LKM) dans les logs :
Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
auparavant (avant de partir en vacances) je n'avais pas cette partie de log (apache2 est ouvert constamment). dois je m'inquiéter de cette indication ou est ce "normal" ? est ce juste une indication de fichiers ou de directory sensibles aux attaques? pourquoi cette indication soudaine? J'ai fermé apache, pour le moment.
-- patrice (+je suis en sarge-)
Sarge, commence à être super... :)! Sur ma testing, la commande chkrootkit, m'a donné : (..) Searching for suspicious files and dirs, it may take a while... /usr/lib/opengroupware.org/.libFoundation /usr/lib/opengroupware.org/.bash_profile /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/LSWSkyrixFrame.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/LSWSkyrixFrame.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyFavorites.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyFavorites.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyNavigation.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyNavigation.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyDock.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyDock.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/LSWImapMails.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/LSWImapMailViewer.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/SkyImapMailList.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/SkyImapMailListHeader.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoMailInfo.lso/LSWImapDockView.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoMailInfo.lso/LSWImapDockView.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/PreferencesUI.lso/SkyDisplayPreferences.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoProjectInfo.lso/SkyDockedProjects.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoProjectInfo.lso/SkyDockedProjects.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoSchedulerDock.lso/SkySchedulerDockView.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoSchedulerDock.lso/SkySchedulerDockView.wo/German.lproj/.cvsignore /usr/lib/mozilla/plugins/mozplayerxp/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/_xpidlgen/.done /usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/simple/_xpidlgen/.done /usr/lib/mozilla/plugins/mozplayerxp/simple/.deps /usr/lib/mozilla/plugins/mozplayerxp/simple/_xpidlgen/.done /usr/lib/nessus/plugins/.desc /usr/lib/opengroupware.org/.libFoundation /usr/lib/mozilla/plugins/mozplayerxp/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/.deps /usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/simple/.deps Searching for LPD Worm files and dirs... nothing found (...) Checking `rexedcs'... not found Checking `sniffer'... lo: PACKET SNIFFER(/sbin/dhclient[2332]) eth0: PACKET SNIFFER(/sbin/dhclient[2332], /usr/sbin/arpwatch[20449]) Checking `w55808'... not infected (...)
Donc ce que suggérait la réponse précédente doit être vrai..., il ne peut lire ou reconnaître les répertoires, .xxx :( ! Si j'ai pu aider ?
Cordialement
Mi
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
ml-spam-delete@tiscali.fr wrote:
Bonjour,
lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6
process LKM) dans les logs :
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/Bundle/.arch-ids
/usr/lib/perl5/Apache/.arch-ids
/usr/lib/perl5/Apache2/.arch-ids
/usr/lib/perl5/Apache2/Apache/.arch-ids
/usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
/usr/lib/perl5/Apache2/ModPerl/.arch-ids
/usr/lib/perl5/Apache2/APR/.arch-ids
/usr/lib/perl5/Apache2/Bundle/.arch-ids
/usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc
/usr/lib/perl5/Bundle/.arch-ids
/usr/lib/perl5/Apache/.arch-ids
/usr/lib/perl5/Apache2/.arch-ids
/usr/lib/perl5/Apache2/Apache/.arch-ids
/usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
/usr/lib/perl5/Apache2/ModPerl/.arch-ids
/usr/lib/perl5/Apache2/APR/.arch-ids
/usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
auparavant (avant de partir en vacances) je n'avais pas
cette partie de log (apache2 est ouvert constamment). dois
je m'inquiéter de cette indication ou est ce "normal" ? est
ce juste une indication de fichiers ou de directory
sensibles aux attaques? pourquoi cette indication soudaine?
J'ai fermé apache, pour le moment.
--
patrice (+je suis en sarge-)
Sarge, commence à être super... :)!
Sur ma testing, la commande chkrootkit, m'a donné :
(..)
Searching for suspicious files and dirs, it may take a while...
/usr/lib/opengroupware.org/.libFoundation
/usr/lib/opengroupware.org/.bash_profile
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/LSWSkyrixFrame.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/LSWSkyrixFrame.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyFavorites.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyFavorites.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyNavigation.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyNavigation.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyDock.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyDock.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/LSWImapMails.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/LSWImapMailViewer.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/SkyImapMailList.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/SkyImapMailListHeader.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoMailInfo.lso/LSWImapDockView.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoMailInfo.lso/LSWImapDockView.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/PreferencesUI.lso/SkyDisplayPreferences.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoProjectInfo.lso/SkyDockedProjects.wo/German.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoProjectInfo.lso/SkyDockedProjects.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoSchedulerDock.lso/SkySchedulerDockView.wo/German_OOo.lproj/.cvsignore
/usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoSchedulerDock.lso/SkySchedulerDockView.wo/German.lproj/.cvsignore
/usr/lib/mozilla/plugins/mozplayerxp/common/.deps
/usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/common/.deps
/usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/.deps
/usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/_xpidlgen/.done
/usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/common/.deps
/usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/simple/_xpidlgen/.done
/usr/lib/mozilla/plugins/mozplayerxp/simple/.deps
/usr/lib/mozilla/plugins/mozplayerxp/simple/_xpidlgen/.done
/usr/lib/nessus/plugins/.desc
/usr/lib/opengroupware.org/.libFoundation
/usr/lib/mozilla/plugins/mozplayerxp/common/.deps
/usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/common/.deps
/usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/.deps
/usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/common/.deps
/usr/lib/mozilla/plugins/mozplayerxp/simple/.deps
Searching for LPD Worm files and dirs... nothing found
(...)
Checking `rexedcs'... not found
Checking `sniffer'... lo: PACKET SNIFFER(/sbin/dhclient[2332])
eth0: PACKET SNIFFER(/sbin/dhclient[2332], /usr/sbin/arpwatch[20449])
Checking `w55808'... not infected
(...)
Donc ce que suggérait la réponse précédente doit être vrai..., il ne
peut lire ou reconnaître les répertoires, .xxx :( !
Si j'ai pu aider ?
Cordialement
Mi
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6 process LKM) dans les logs :
Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
auparavant (avant de partir en vacances) je n'avais pas cette partie de log (apache2 est ouvert constamment). dois je m'inquiéter de cette indication ou est ce "normal" ? est ce juste une indication de fichiers ou de directory sensibles aux attaques? pourquoi cette indication soudaine? J'ai fermé apache, pour le moment.
-- patrice (+je suis en sarge-)
Sarge, commence à être super... :)! Sur ma testing, la commande chkrootkit, m'a donné : (..) Searching for suspicious files and dirs, it may take a while... /usr/lib/opengroupware.org/.libFoundation /usr/lib/opengroupware.org/.bash_profile /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/LSWSkyrixFrame.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/LSWSkyrixFrame.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyFavorites.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyFavorites.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyNavigation.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyNavigation.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyDock.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/BaseUI.lso/SkyDock.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/LSWImapMails.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/LSWImapMailViewer.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/SkyImapMailList.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoWebMail.lso/SkyImapMailListHeader.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoMailInfo.lso/LSWImapDockView.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoMailInfo.lso/LSWImapDockView.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/PreferencesUI.lso/SkyDisplayPreferences.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoProjectInfo.lso/SkyDockedProjects.wo/German.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoProjectInfo.lso/SkyDockedProjects.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoSchedulerDock.lso/SkySchedulerDockView.wo/German_OOo.lproj/.cvsignore /usr/lib/opengroupware.org/Library/OpenGroupware.org/OGoSchedulerDock.lso/SkySchedulerDockView.wo/German.lproj/.cvsignore /usr/lib/mozilla/plugins/mozplayerxp/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/_xpidlgen/.done /usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/simple/_xpidlgen/.done /usr/lib/mozilla/plugins/mozplayerxp/simple/.deps /usr/lib/mozilla/plugins/mozplayerxp/simple/_xpidlgen/.done /usr/lib/nessus/plugins/.desc /usr/lib/opengroupware.org/.libFoundation /usr/lib/mozilla/plugins/mozplayerxp/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/plugin_v0.4_gtk_1.2/simple/.deps /usr/lib/mozilla/plugins/mozplayerxp/pluginv2gtk1.2/samples/common/.deps /usr/lib/mozilla/plugins/mozplayerxp/simple/.deps Searching for LPD Worm files and dirs... nothing found (...) Checking `rexedcs'... not found Checking `sniffer'... lo: PACKET SNIFFER(/sbin/dhclient[2332]) eth0: PACKET SNIFFER(/sbin/dhclient[2332], /usr/sbin/arpwatch[20449]) Checking `w55808'... not infected (...)
Donc ce que suggérait la réponse précédente doit être vrai..., il ne peut lire ou reconnaître les répertoires, .xxx :( ! Si j'ai pu aider ?
Cordialement
Mi
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
