Faux positifs avec chkrootkit

7 réponses
Avatar
MAI
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.

Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .

Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT

7 réponses

Avatar
yves
Le 11/12/2011 12:35, MAI a écrit :
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"



J'ai scanné avec la même version 0.49 et init est non infecté chez moi.


avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.

Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .

Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT
Avatar
Tonton Th
On 12/11/2011 12:38 PM, yves wrote:
Le 11/12/2011 12:35, MAI a écrit :
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"



J'ai scanné avec la même version 0.49 et init est non infecté chez moi.



Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.

--

Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/
Avatar
yves
Le 11/12/2011 12:45, Tonton Th a écrit :
On 12/11/2011 12:38 PM, yves wrote:
Le 11/12/2011 12:35, MAI a écrit :
Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"



J'ai scanné avec la même version 0.49 et init est non infecté chez moi.



Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.




De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit
Avatar
Vivien MOREAU
yves writes:

Le 11/12/2011 12:45, Tonton Th a écrit :
On 12/11/2011 12:38 PM, yves wrote:
[...]
J'ai scanné avec la même version 0.49 et init est non infecté chez moi.



Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.




De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit



Si Tonton Th te demande ça, c'est justement pour vérifier si tu as le
même /sbin/init que l'OP et donc pour savoir si c'est pertinent. :-)

--
Asynchroniquement,
Vivien
Avatar
jacques
Le Sun, 11 Dec 2011 12:45:37 +0100, Tonton Th a écrit :

Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.




3ddeab602ef255f8453834a161addd19 /sbin/init

Pas de Suckit chez moi.


J.


Non-mais...
Avatar
Leger
MAI wrote:

"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack



Bonjour,

J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.

--
@+
Leger
Avatar
Arnaud Gomes-do-Vale
Leger writes:

J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.



Sauf si les (ou certains) serveurs de distribution de Mandriva se sont
faits trouer.

--
Arnaud
http://blogs.glou.org/arnaud/