Faux positifs avec chkrootkit
Le
MAI

Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux
qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.
Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .
Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux
qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.
Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .
Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT
J'ai scanné avec la même version 0.49 et init est non infecté chez moi.
Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.
--
Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/
De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit
Si Tonton Th te demande ça, c'est justement pour vérifier si tu as le
même /sbin/init que l'OP et donc pour savoir si c'est pertinent. :-)
--
Asynchroniquement,
Vivien
3ddeab602ef255f8453834a161addd19 /sbin/init
Pas de Suckit chez moi.
J.
Non-mais...
Bonjour,
J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.
--
@+
Leger
Sauf si les (ou certains) serveurs de distribution de Mandriva se sont
faits trouer.
--
Arnaud
http://blogs.glou.org/arnaud/